Sisalima, Morocho Rebeca Emarisma

INFORME ANÁLISIS PREVIO
VERSIÓN EXCLUSIVA PARA USO ACADÉMICO
Proyecto: UE
Fecha 12/12/21 3:08
Patrón: SNT_08_001 - Patrón General 2013
Responsable: Ing. Rebeca Sisalima
Descripción: La empresa UE, es una institución educativa

particular de tercer nivel, localizada en la ciudad de
Guayaquil, cantón de Samborondón.
8/01/22 22:12
Plan de Tratamiento UE - 08/01/2022
TABLA DE CONTENIDO
Proyecto: UE ..................................................................................................................................................................... 1
Patrón: SNT_08_001 - Patrón General 2013................................................................................................................... 1
Descripción: ............................................................................................................................................................................ 1
Datos de la Empresa……………………………………………………………………………………………………………………7
Alcance…………………………………………………………………………………………………………………………………...7
Detalle de Activos……………………………………………………………………………………………………………………….8
[A.5] - Políticas de Seguridad de la información ................................................................................................................... 9
[A.5.1] - Directrices de gestión de la seguridad de la información .................................................................................... 9
COBERTURA CONTROL: ................................................................................................................................................. 9
COBERTURA CONTROL: ................................................................................................................................................. 9
Diagramas de Cobertura………………………………………………………………………………………………………………13
[A.6] - Organización de la seguridad de la información ...................................................................................................... 14
[A.6.1] - Organización interna........................................................................................................................................... 14
COBERTURA CONTROL: ............................................................................................................................................... 14
[A.7] - Seguridad ligada a los recursos humanos ................................................................................................................ 23
[A.7.1] - Antes del empleo ................................................................................................................................................ 23
[A.7.2] - Durante el empleo .............................................................................................................................................. 24
[A.7.3] - Finalización del empleo o cambio en el puesto de trabajo ................................................................................ 26
[A.8] - Gestión de activos ..................................................................................................................................................... 29
[A.8.1] - Responsabilidad sobre los activos ..................................................................................................................... 29
www.emarisma.com - eMarisma IT Risk Management - ©2018 - 2022 eMarisma Shield S.L. All
2
[A.8.2] - Clasificación de la información ........................................................................................................................... 32

[A.8.3] - Manipulación de los soportes ............................................................................................................................. 34
[A.9] - Control de acceso...................................................................................................................................................... 39
[A.9.1] - Requisitos de negocio para el control de acceso .............................................................................................. 39
[A.9.2] - Gestión de acceso de usuario ............................................................................................................................ 42
[A.9.3] - Responsabilidades de usuario ........................................................................................................................... 47
[A.9.4] - Control de acceso a sistemas y aplicaciones .................................................................................................... 49
[A.10] - Criptografía .............................................................................................................................................................. 57
[A.10.1] - Controles criptográficos .................................................................................................................................... 57
[A.11] - Seguridad física y del entorno................................................................................................................................. 62
[A.11.1] - Áreas seguras ................................................................................................................................................... 62
3

[A.12] - Seguridad de las operaciones................................................................................................................................. 77
[A.12.1] - Procedimientos y responsabilidades operacionales ........................................................................................ 77
[A.12.2] - Protección contra el software malicioso ........................................................................................................... 81
[A.12.3] - Copias de seguridad ......................................................................................................................................... 82
[A.12.4] - Registros y supervisión .................................................................................................................................... 83
[A.12.5] - Control del software en explotación ................................................................................................................. 89
[A.12.6] - Gestión de la vulnerabilidad técnica ................................................................................................................ 90
[A.13] - Seguridad de las comunicaciones .......................................................................................................................... 95
[A.13.1] - Gestión de la seguridad de redes .................................................................................................................... 95
[A.13.2] - Intercambio de información .............................................................................................................................. 96
4

COBERTURA CONTROL: .............................................................................................................................................100
Diagramas de Cobertura…………………………………………………………………………………………………………….103
[A.14] - Adquisición, desarrollo y mantenimiento de los sistemas de información ...........................................................104
[A.14.1] - Requerimientos de seguridad en sistemas de información ...........................................................................104
[A.14.2] - Seguridad en el desarrollo y en los procesos de soporte ..............................................................................109
[A.14.3] - Datos de prueba .............................................................................................................................................118
[A.15] - Relación con proveedores ....................................................................................................................................120
[A.15.1] - Seguridad en las relaciones con proveedores ...............................................................................................120
[A.15.2] - Gestión de la provisión de servicios del proveedor .......................................................................................121
[A.16] - Gestión de incidentes de seguridad de la información .........................................................................................126
[A.16.1] - Gestión de incidentes de seguridad de la información y mejoras .................................................................126
5

[A.17] - Aspectos de seguridad de la información para la gestión de la continuidad delnegocio ....................................134
[A.17.1] - Continuidad de la seguridad de la información ..............................................................................................134
[A.17.2] - Redundancias .................................................................................................................................................140
[A.18] - Cumplimiento.........................................................................................................................................................142
[A.18.1] - Cumplimiento de los requisitos legales y contractuales ................................................................................142
[A.18.2] - Revisiones de la seguridad de la información ...............................................................................................146
CONCLUSIÓN………………………………………………………………………………………………………………………..151
6
Datos de la Empresa
La empresa UE, es una institución educativa particular de tercer nivel, localizada en la ciudad de Guayaquil,
cantón de Samborondón. La organización se encuentra segmentada en diferentes áreas administrativas como
lo son el área Contable, Financiera, TTHH, Admisiones, Sistemas, secretaria, Facultades, entre otros. El
establecimiento cuenta con el rededor de 200 colaboradores, al ser una entidad educativa cada una de las
áreas tienen relación con otras.
En el caso Financiero se manejan las mensualidades de los estudiantes, que a su vez se registra de forma
manual en el área Contable, y sistemática en el sistema Financiero, sistema manipulado por los cajeros, donde
dicha informacion se almacena en un repositorio de la base de datos, administrada por el Área de Sistemas.
Cada docente de Facultad cuenta con una PC personal en cada uno de sus cubículos, en dichas máquinas
se encuentra instalado el SISTEMA ACADEMICO (SAUE), donde los docentes registran las notas de los
alumnos y esto se registra de forma automática en el mismo SISTEMA ACADEMICO (SAUE) de secretaria
quienes tienen otro permiso para realizar modificaciones, finalmente, dicha información es almacenada en un
repositorio de base de datos.
El área de TTHH, a diferencia de las otras maneja los roles de los empleados y tambien cuentas con un
SISTEMA de registro.
En muchas de las ocasiones los usuarios han dejado abiertas sus sesiones, por lo que la informacion se ha
visto afectada y manipulada, por terceros. Actualmente la Universidad no cuenta con normas de proteccion
de seguridad en los datos, y al no haber sanciones para los usuarios, es un tema que se toma a la ligera.
Por ello, el establecimiento considera relevante implementar medidas de seguridad que protejan sus datos de
los mismos usuarios, donde se establezcan y se detallen reglamentos y políticas a seguir con el objetivo de
garantizar la integridad, confidencialidad y disponibilidad de la información.
Alcance
Este análisis SGSI, se llevará a cabo en la sede principal del campus Samborondón, en las áreas
administrativas expuestas en la sección anterior.
Con el objetivo de tener un esquema base para que luego este se pueda tomar como Patrón de
implementación en los demás campus.
7
Detalle de Activos
Tipo Nombre Valor Estratégico Coste Propietario Responsable Descripción Observaciones
Aplicativo utilizado por el área contable para efectuar los Se actualizan las opciones o procesos del aplicativo, siempre y
reportes registrados por el área financiera , opción cuando el área Financiera así lo disponga.
supervisor validar que cajero realizo una determinada Este sistema funciona en conjunto con EC_FIN (Sistema Financiero)
[SW] Aplicaciones (software) ASC Muy Alto Área Contable Rebeca Sisalima ejecución de proceso. Todo cambio autorizado es realizado por el Área de Desarrollo.
La institución cuanta con todos sus servicios
virtualizados, dentro de un mismo entorno virtual,
segmentado.
Se realizan replicaciones de los datos en estos sistemas
[AUX] Equipamiento auxiliar Backup Virtualizados Muy Alto Infraestructura Rebeca Sisalima virtualizados Los sistemas se encuentran virtualizados en VMware
Plataforma que permite al área de admisiones gestionar
la atención de los estudiantes , citas, ventas de carreras,
Esta herramienta solo es utilizada por admisiones y call center para
[SW] Aplicaciones (software) CRM Alto Infraestructura Rebeca Sisalima entre otros procesos de inscripción. el proceso de atención al estudiante.
Se actualizan las opciones o procesos del sistema , siempre y
cuando se efectúen descuentos institucionales para los estudiantes ,
Aquí se registran todos los pagos académicos realizados o se realicen convenios con otras entidades bancarias.
[SW] Aplicaciones (software) EC_FIN Muy Alto Área Financiera Rebeca Sisalima por los estudiantes. Todo cambio autorizado es realizado por el Área de Desarrollo.
Dispositivo de salida , impresoras RICOH profesionales
[AUX] Equipamiento auxiliar Impresoras Medio Institución Rebeca Sisalima compartidas dentro de la red. Cada área de trabajo posee un dispositivo de salida.
Sistema utilizado por las bibliotecarias para la
informacion de los libros y que estos datos se puedan Los estudiantes realizan consultas de las disponibilidades e
[SW] Aplicaciones (software) Library Alto Biblioteca Rebeca Sisalima visualizar en el sistema web atrium. informacion de los libros
Intel Core I5, sexta generación disco SSD 500 gb,
[HW] Equipos informáticos (hardware)
Pc Alto Usuarios Rebeca Sisalima memoria de 8 GB
La institución cuenta con un conjunto de redes , donde Debido a la segmentación los laboratorios , aulas, wifi, cámaras , no
forman parte equipos físicos y lógicos , cada área cuenta podrán acceder a los sistemas académicos utilizados por el área
con un segmento de red , distribuido en personal administrativa / académicos , como sistemas académico, impresoras ,
[COM] Redes de comunicacionesRed de Datos Muy Alto Infraestructura Rebeca Sisalima Administrativo, Laboratorios, Aulas, Wifi, Cámaras archivos compartidos, entre otros
[COM] Redes de comunicacionesRed Inalámbrica Muy Alto Infraestructura Rebeca Sisalima La institución cuenta con un segmentó de red Wifi Conexión realizada por QR
La institución cuenta con una central telefónica montada

en elastix , para la distribución de llamadas entrantes y
[COM] Redes de comunicacionesRed telefónica Muy Alto Infraestructura Rebeca Sisalima salientes y configuración de PBX, colas, entre otros.
Secretaria general se encarga de mantener actualizado
todos los registros académicos relacionados con los
estudiantes, Títulos, Certificados, Reporte de alumnis ,
[Media] Soportes de información Reportes Académicos Muy Alto Secretaria General Rebeca Sisalima Reporte alumnos activos, etc.
Se actualizan las opciones o procesos del sistema , cada vez que se
realicen consejos académicos para lanzar una nueva carrera
Saue es un visualizador Frond end , donde le permite a universitaria, nueva metodología en la recepción de notas, ingreso
los docentes registrar notas , verificar horarios, materias, de formularios para estudiantes , información adicional.
[SW] Aplicaciones (software) SAUE Muy Bajo Docentes/Administrativos académicos
Rebeca Sisalima listas de estudiantes, entre otros. Todo cambio autorizado es realizado por el Área de Desarrollo.
En este Hardware físico, se aloja la pagina web de la institución, y
[HW] Equipos informáticos (hardware)
Servidor Web / Base de datos Muy Bajo Infraestructura Rebeca Sisalima los datos
Características del equipo : Core i9 11ava generación , Memoria de de la base
64Gb , 2GB SATA 2.5" SSD + 2TB 7200 rpm HDD, NVIDIA Qu
Se actualizan las opciones o procesos del aplicativo, siempre y
cuando el área de Talento Humano , así lo requiera.
[SW] Aplicaciones (software) Sistema de Nomina Muy Alto Talento Humano Rebeca Sisalima Sistemas de nómina, en esta aplicacion el área de TTHH ,Todo cambio
efectúan autorizadodeeslosrealizado
los registros pagos apor
los elempleados,
Área de Desarrollo.
adelantos de sueld
[COM] Redes de comunicacionesSwitch / Router Muy Bajo Infraestructura Rebeca Sisalima switches Aruba 5400R , ofrece alta disponibilidad Layer 3 , arquitectura de alta velocidad y capacidad con flexibilidad y escalabilida
Este usuario es el responsable de la manipulación e integración de
[P] Personal Usuario Final Muy Bajo Institución Usuario Final El Personal Administrativo (usuario final) , maneja los datoslosAcadémico
datos
8
[A.5] - Políticas de Seguridad de la información
[A.5.1] - Directrices de gestión de la seguridad de la información
[A.5.1.1] - Políticas para la seguridad de la información
COBERTURA CONTROL:
Aplica
Descripción (SI/NO)
N.C(S/P/N) Comentarios
¿Existe apoyo de la dirección al plan de seguridad? SI SI
¿Se comunica la política de seguridad a los nuevos

SI SI
usuarios del sistema?
[A.5.1.2] - Revisión de la política de seguridad de la información
COBERTURA CONTROL:
Aplica
¿La política de seguridad de la información es revisada a

SI NO
intervalos planificados de tiempo?
¿Los datos de entrada (input) de la revisión gerencial
incluyen información sobre: c) estado de acciones SI PARCIAL
preventivas y correctivas?
incluyen información sobre: d) resultados de revisiones SI PARCIAL
gerenciales previas?
9
Aplica

incluyen información sobre: e) desempeño del proceso y SI PARCIAL
conformidad con la política de seguridad de la
información?

incluyen información sobre: f) cambios que podrían SI SI
afectar el enfoque de la organización en el manejo de la
seguridad de la información?
incluyen información sobre: g) tendencias relacionadas SI PARCIAL
con amenazas y vulnerabilidades?

incluyen información sobre: h) incidentes de seguridad de SI PARCIAL
información reportados?
incluyen información sobre: i) recomendaciones provistas SI NO
por autoridades relevantes?
¿Los datos de salida (output) de la revisión gerencial

incluyen información sobre: a) mejora del enfoque de la SI SI
organización para manejar la seguridad de la información
y sus procesos?
incluyen información sobre: a) mejora de los objetivos de SI PARCIAL
control y los controles?
incluyen información sobre: a) mejora de la asignación de SI NO
recursos y/o responsabilidades?
¿La política de seguridad de la información es revisada
SI PARCIAL
cuando ocurren cambios significativos?
¿Se mantiene un registro de la revisión gerencial? SI PARCIAL
¿Se obtiene la aprobación de la gerencia para la política

SI SI
revisada?
¿La política de seguridad de la información tiene un
propietario con la responsabilidad gerencial aprobada SI PARCIAL
para su desarrollo, revisión y evaluación?
¿La revisión de la política de seguridad de la información

tiene en cuenta los resultados de las revisiones de la SI SI
gerencia?
¿Existe un procedimiento de revisión gerencial? SI PARCIAL
¿El procedimiento de revisión gerencial incluye ¿El procedimiento de revisión gerencial incluye el períodode
cronograma? revisión?
10
SI SI
SI SI
11
Aplica

incluyen información sobre: a) retroalimentación de las SI NO
partes interesadas?
12
Diagramas de Cobertura
13
[A.6] - Organización de la seguridad de la información
[A.6.1] - Organización interna
[A.6.1.1] - Roles y responsabilidades en seguridad de la información
COBERTURA CONTROL:
Aplica
¿Las responsabilidades de la seguridad de la información

SI NO
están claramente definidas?
¿Están claramente definidas las responsabilidades para
SI PARCIAL
la protección de los activos individuales?
¿En caso de existir delegación de las tareas de
seguridad, el responsable realiza una verificación de la SI PARCIAL
correcta realización de las mismas?
¿Están claramente definidas las áreas de las cuales son
SI SI
responsables las diferentes personas?
¿Están claramente identificados y definidos los activos y
procesos de seguridad asociados con cada sistema SI SI
particular?
¿Están claramente definidos los niveles de autorización?

SI PARCIAL
¿Existe un documento que especifique las funciones y

responsabilidad en materia de seguridad del personal de SI NO
la empresa?
14
[A.6.1.2] - Segregación de tareas
COBERTURA CONTROL:
Aplica
¿Están correctamente separadas las actividades que

NO SI
requieren relación para defraudar?
¿En caso de existir peligro de connivencia, los controles
están diseñados para involucrar a dos o más personas, SI PARCIAL
reduciendo de ese modo la posibilidad de conspiración?
[A.6.1.3] - Contacto con las autoridades
COBERTURA CONTROL:
Aplica
¿Se tiene un procedimiento que indique cuándo y cuáles

SI PARCIAL
autoridades se deben contactar?
¿El procedimiento incluye como reportar los incidentes de
SI NO
seguridad detectados?
15
[A.6.1.4] - Contacto con grupos de interés especial
COBERTURA CONTROL:
Aplica
Descripción (SI/NO) N.C(S/P/N) Comentarios
¿Se mantienen contactos apropiados con grupos de

interés especial, foros de seguridad especializados y SI NO
asociaciones profesionales?
¿Se utilizan estos contactos para mantener al día la
SI NO
información de seguridad relevante?
¿Se utilizan estos contactos para asegurarse que el
SI PARCIAL
ambiente de seguridad esta actualizado?
¿Se utilizan estos contactos para recibir alertas
SI PARCIAL
relacionadas con ataques y vulnerabilidades?
¿Se utilizan estos contactos para obtener acceso a
consultoría especializada de seguridad de la SI NO
información?
¿Se utilizan estos contactos para compartir información
sobre tecnologías, productos, amenazas y SI NO
vulnerabilidades?
¿Se utilizan estos contactos para proporcionar vínculos
adecuados cuando se trata de incidentes de seguridad de SI NO
la información?
[A.6.1.5] - Seguridad de la información en la gestión de proyectos
COBERTURA CONTROL:
16
Aplica
¿Los objetivos de seguridad de la información estén

SI NO
incluidos en los objetivos del proyecto?
¿Se realiza una evaluación de riesgos de seguridad de la
información en una fase temprana del proyecto para SI NO
identificar los controles necesarios?
¿La seguridad de la información es parte de todas las

fases de la metodología aplicada en el proyecto? SI PARCIAL
¿Se revisan periódicamente las implicaciones de

seguridad de la información en todos los proyectos? SI PARCIAL
¿Las responsabilidades de seguridad de la información

están definidas y asignadas a los roles específicos SI PARCIAL
señalados en los métodos de gestión de proyectos?
[A.6.2] - Los dispositivos móviles y el teletrabajo
[A.6.2.1] - Política de dispositivos móviles
COBERTURA CONTROL:
Aplica
¿Existe una política y medidas de seguridad apropiadas

para proteger contra los riesgos de utilizar medios de SI NO
computación y comunicación móvil?
¿Los medios están respaldados contra el robo o pérdida

SI NO
de información?
¿Existen controles para el uso de medios móviles

SI PARCIAL
conectados a las redes?
¿El acceso remoto a la información comercial a través de
una red pública utilizando medios de computación móvil SI SI
solo se realiza después de una satisfactoria identificación
y autenticación, y con los controles de acceso adecuados
en funcionamiento?
17
Aplica
¿Los medios de computación móvil también están

SI NO
físicamente protegidos contra robo?
¿Existe un procedimiento específico que tome en cuenta
los requerimientos legales, de seguros y otros SI NO
requerimientos de seguridad de la organización para
casos de robo o pérdida de los medios móviles?
¿El equipo que contiene información comercial

importante, confidencial y/o crítica no se dejar SI PARCIAL
desatendido?
¿Existe capacitación para el personal que utiliza
computación móvil para elevar el nivel de conciencia SI NO
sobre los riesgos adicionales resultantes de esta forma
de trabajo y los controles que se debieran implementar?
¿Cuando se utiliza medios de computación y

comunicación móvil existen controles para asegurar que SI SI
no se comprometa la información comercial?
¿La política de computación móvil toma en cuenta los

riesgos de trabajar con equipo de computación móvil en SI NO
ambientes desprotegidos?
¿La política de computación móvil incluye los
requerimientos de protección física, controles de acceso, SI SI
técnicas criptográficas, respaldos (back–up) y protección
contra virus?
¿La política de computación móvil incluye reglas y
consejos para la conexión de medios móviles con las SI NO
redes y lineamientos para el uso de estos medios en
lugares públicos?
¿Existen controles cuando se utiliza medios de
computación móvil en lugares públicos, salas de SI PARCIAL
reuniones y otras áreas desprotegidas fuera de los
locales de la organización?
¿Los usuarios de los medios de computación móvil que
se encuentran en lugares públicos tienen cuidado en SI NO
evitar que personas no autorizadas vean su trabajo?
¿Existen procedimientos contra los software maliciosos y

SI SI
están actualizados?
¿Los respaldos (back–up) de la información comercial
SI SI
crítica se realizan con regularidad?
18
[A.6.2.2] - Teletrabajo
COBERTURA CONTROL:
Aplica
¿Se ha considerado la seguridad física existente en el

sitio de trabajo remoto, tomando en cuenta la seguridad SI SI
física del edificio y del ambiente local?
¿Se ha analizado el ambiente de trabajo remoto

SI SI
propuesto?
¿Se ha considerado los requerimientos de seguridad de
comunicaciones, tomando en cuenta la necesidad de SI SI
acceso remoto a los sistemas internos de la organización,
la sensibilidad de la información a la que se accederá y
que pasará a través del vínculo de comunicación y la
sensibilidad del sistema interno?
¿Se ha considerado la amenaza de acceso no autorizado

a información o recursos por parte de otras personas que SI PARCIAL
utilizan el lugar, por ej. Familia y amigos?
¿Los controles comprenden la provisión de mobiliario

para almacenamiento y equipamiento, adecuado para las SI SI
actividades de trabajo remoto?
¿Los controles contemplan una definición del trabajo
SI SI
permitido?
¿Los controles contemplan el horario de trabajo? SI SI
¿Los controles contemplan la clasificación de la

información que se puede almacenar y los sistemas SI SI
internos y servicio a los cuales el trabajador remoto está
autorizado a acceder?
¿Los controles contemplan la provisión de un adecuado
equipamiento de comunicación, con inclusión de métodos SI SI
para asegurar el acceso remoto?
19
¿Los controles contemplan la seguridad física? SI SI
20
Aplica
¿Los controles contemplan las reglas y orientación para

cuando familiares y visitantes accedan al equipamiento e SI NO
información?
¿Los controles contemplan la provisión de hardware y el
soporte y mantenimiento del software? SI SI
¿Los controles contemplan los procedimientos de copia

de seguridad para la continuidad de las operaciones? SI SI
¿Los controles contemplan la auditoría y monitoreo de la

SI NO
seguridad?
¿Los controles contemplan la anulación de la autoridad,
derechos de acceso y devolución del equipo cuando SI SI
finalicen las actividades remotas?
¿El trabajo remoto está autorizado y controlado por la
SI SI
gerencia?
¿Existen procedimientos, políticas y estándares que
permitan controlar las actividades de trabajo remoto? SI PARCIAL
¿Antes de autorizar actividades de trabajo remoto se

realiza una comprobación para verificar que están SI SI
implementados las disposiciones y controles adecuados
en materia de seguridad y que estos cumplen con la
política de seguridad de la organización?
21
22
[A.7] - Seguridad ligada a los recursos humanos
[A.7.1] - Antes del empleo
[A.7.1.1] - Investigación de antecedentes
COBERTURA CONTROL:
Aplica
2) ¿Existen controles de verificación del personal a la

hora de solicitar el puesto (política de personal)? a) SI NO
disponibilidad de certificados de buena conducta
satisfactorios, por ej. Uno laboral y uno personal. b) una
comprobación (de integridad y veracidad) del currículo
vitae del aspirante. c) constatación de las aptitudes
académicas y profesionales alegadas. d) verificación de
la identidad (pasaporte o documento similar).
¿Se estipula en los contratos con terceros, cuando estos

involucran a personal temporal, que hayan realizado SI PARCIAL
controles de verificación al personal?
¿Está centralizada la responsabilidad de entrada de
SI SI
terceros en la empresa?
¿Está aprobada la política de evaluación para personal
nuevo con autorización para acceder a sistemas SI NO
sensibles?
23
[A.7.1.2] - Términos y condiciones del empleo
COBERTURA CONTROL:
Aplica
¿En caso de que corresponda, se estipulan cláusulas de

confidencialidad una vez finalizado el contrato? SI NO
¿Se especifica en los contratos las acciones que se

emprenderán si el empleado hace caso omiso de los SI NO
requerimientos de seguridad?
¿Se encuentran incluidos en los términos y condiciones
del contrato las responsabilidades y derechos legales del SI NO
empleado?
¿En los términos y condiciones del empleo se define la
responsabilidad del empleado por la seguridad de la SI NO
información a la que se le da acceso?
[A.7.2] - Durante el empleo
[A.7.2.1] - Responsabilidades de gestión
COBERTURA CONTROL:
24
Aplica
¿La gerencia es responsable de garantizar que los

usuarios empleados, contratistas y terceras personas: SI NO
estén apropiadamente informados sobre sus roles y
responsabilidades de seguridad antes de otorgarles
acceso a información confidencial o a los sistemas de
información?
estén motivados para cumplir con las políticas de
seguridad de la organización?
logren un nivel de conciencia sobre seguridad relevante
para sus roles y responsabilidades dentro de la
organización?
usuarios empleados, contratistas y terceras personas: SI PARCIAL
cumplan con los términos y condiciones de empleo, los
cuales incluyen la política de seguridad de la información
de la organización y los métodos de trabajo apropiados?

usuarios empleados, contratistas y terceras personas: NO SI
continúen teniendo las capacidades y calificaciones
apropiadas?
[A.7.2.2] - Concienciación, educación y capacitación en seguridad de la

información
COBERTURA CONTROL:
Aplica
¿Los empleados de la organización reciben una

adecuada capacitación en materia de políticas y SI NO
procedimientos de la organización (requerimientos de
seguridad, las responsabilidades legales y controles del
negocio, así como la capacitación referida al uso correcto
de las instalaciones de procesamiento de información)?
25
Aplica
¿El persona externo de la organización recibe una

adecuada capacitación en materia de políticas y SI NO
procedimientos de la organización (requerimientos de
seguridad, las responsabilidades legales y controles del
negocio, así como la capacitación referida al uso correcto
de las instalaciones de procesamiento de información)?
[A.7.2.3] - Proceso disciplinario
COBERTURA CONTROL:
Aplica
¿Existe un proceso disciplinario formal para los

empleados que violen las políticas y procedimientos de SI NO
seguridad de la organización (procedimiento disuasivo)?
[A.7.3] - Finalización del empleo o cambio en el puesto de trabajo
[A.7.3.1] - Responsabilidades ante la finalización o cambio
COBERTURA CONTROL:
26
Aplica
¿Están claramente definidos y asignados las

responsabilidades de terminación o cambio de empleo? SI PARCIAL
¿La comunicación de las responsabilidades de

terminación debieran incluye requerimientos de seguridad SI NO
constantes y responsabilidades legales?
¿Las responsabilidades de terminación están contenidas
dentro de cualquier acuerdo de confidencialidad? SI NO
¿Las responsabilidades de terminación están contenidas

dentro los términos y condiciones de empleo? SI NO
¿Las responsabilidades de terminación tiene establecido

un período después de terminado el empleo del usuario SI NO
empleado, contratista o tercera persona?
27
28
[A.8] - Gestión de activos
[A.8.1] - Responsabilidad sobre los activos
[A.8.1.1] - Inventario de activos
COBERTURA CONTROL:
Aplica
¿Existe un inventario de activos asociados a cada

sistema de información [activo, propietario, nivel de SI PARCIAL
seguridad, ubicación]? o 1) Recursos de información:
bases de datos y archivos, documentación de sistemas,
manuales de usuario, material de capacitación,
procedimientos operativos o de soporte, planes de
continuidad, disposiciones relativas a sistemas de
emergencia para la reposición de información perdida
("fallback"), información archivada;

sistema de información [activo, propietario, nivel de SI PARCIAL
seguridad, ubicación]? o 2) Recursos de software:
software de aplicaciones, software de sistemas,
herramientas de desarrollo y utilitarios;
sistema de información [activo, propietario, nivel de SI SI
seguridad, ubicación]? o 3) Activos físicos: equipamiento
informático (procesadores, monitores, computadoras
portátiles, módems), equipos de comunicaciones (routers,
PABXs, máquinas de fax, contestadores automáticos),
medios magnéticos (cintas y discos), otros equipos
técnicos (suministro de electricidad, unidades de aire
acondicionado), mobiliario, lugares de emplazamiento;

sistema de información [activo, propietario, nivel de SI SI
seguridad, ubicación]? o 4) Servicios: servicios
informáticos y de comunicaciones, utilitarios generales,
por ej., calefacción, iluminación, energía eléctrica, aire
acondicionado.
29
[A.8.1.2] - Propiedad de los activos
COBERTURA CONTROL:
Aplica
¿Toda la información y los activos asociados con los

medios de procesamiento de información son propiedad SI SI
de una parte designada por la organización?
¿El propietario del activo es responsable de asegurar que

la información y los activos asociados con los medios de SI SI
procesamiento de la información sean clasificados
apropiadamente?
¿El propietario del activo es responsable de definir y
revisar periódicamente las restricciones y clasificaciones SI PARCIAL
de acceso, tomando en cuenta las políticas de control de
acceso aplicables?
[A.8.1.3] - Uso aceptable de los activos
COBERTURA CONTROL:
Aplica
¿Están identificados, documentados e implementados las

reglas para el uso aceptable de la información y los SI NO
activos asociados con los medios del procesamiento de
la información?
30
Aplica
¿Los empleados, contratistas y terceros siguen las reglas

para el uso aceptable de la información y los activos SI PARCIAL
asociados con los medios del procesamiento de la
información?
para el uso aceptable del correo electrónico? SI PARCIAL

SI PARCIAL
para el uso aceptable de Internet?
para el uso aceptable de los dispositivos móviles? SI PARCIAL
¿Los empleados, contratistas y terceros que usan o

tienen acceso a los activos de la organización conocen SI NO
los límites existentes para su uso de la información y los
activos asociados con los medios y recursos del
procesamiento de la información de la organización?
[A.8.1.4] - Devolución de activos
COBERTURA CONTROL:
Aplica
¿Todos los usuarios empleados, contratistas y terceras

personas devuelven los activos de la organización que SI SI
tengan en su posesión a la terminación de su empleo,
contrato o acuerdo?
¿En el proceso de terminación de empleo está incluida la
devolución de todo el software, documentos corporativos, SI SI
equipo o cualquier otro activo de la organización
entregado previamente?
¿En los casos donde el usuario empleado, contratista o
tercera persona ha comprado el equipo de la SI NO
organización o ha utilizado su propio equipo, existe un
procedimiento que garantice que toda la información
relevante ha sido transferida a la organización y haya
sido adecuadamente borrada del equipo?
31
[A.8.2] - Clasificación de la información
[A.8.2.1] - Clasificación de la información
COBERTURA CONTROL:
Aplica
¿Están clasificados los activos de la organización según

las necesidades de la empresa, con respecto a la SI PARCIAL
distribución y restricción de la información, así como de la
incidencia de dichas necesidades en las actividades de la
organización?
¿Está clasificada la información y las salidas de los
sistemas que administran datos clasificados, según la SI PARCIAL
terna [valor, grado de sensibilidad, grado de criticidad]?
¿Esta procedímentado el periodo en que debe estar

SI PARCIAL
protegida la información sensible y crítica?
[A.8.2.2] - Etiquetado de la información
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para el rotulado y manejo de la

información, según el esquema de clasificación adoptado SI PARCIAL
por la organización?
32
[A.8.2.3] - Manipulado de la información
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para el manejo y

almacenamiento de la información que permita protegerla SI NO
contra su uso inadecuado o divulgación no autorizada?
¿Los procedimientos de manejo de información están

elaborados teniendo en cuenta la clasificación de la SI SI
misma?
¿Se controla el manejo y rotulado de todos los medios?

SI PARCIAL
¿Se controlan las restricciones de acceso para identificar

SI PARCIAL
al personal no autorizado?
¿Se realiza el mantenimiento de un registro formal de los
SI SI
receptores autorizados de datos?
¿Existen controles para garantizar que los datos de
entrada son completos, que el procesamiento se lleva a SI PARCIAL
cabo correctamente y que se aplica la validación de
salidas?
¿Existen controles para la protección de datos en espera
(“spooled data”) en un nivel consecuente con el grado de SI NO
sensibilidad de los mismos?
¿Existen controles para el almacenamiento de medios en
un ambiente que concuerda con las especificaciones de SI NO
los fabricantes o proveedores?
¿Existen controles para mantener la distribución de datos
SI NO
en un nivel mínimo?
¿Existen controles para la marcación clara de todas las
copias de datos a fin de ser advertidas por el receptor SI NO
autorizado?
¿Existen controles para la revisión de listados de
distribución y listados de receptores autorizados a SI NO
intervalos regulares?
33
[A.8.3] - Manipulación de los soportes
[A.8.3.1] - Gestión de soportes extraíbles
COBERTURA CONTROL:
Aplica
¿Existen procedimiento para borrar los contenidos

previos de cualquier medio reutilizable que ha de ser SI NO
retirado de la organización?
¿Se requiere autorización para retirar cualquier medio de
SI SI
la organización?
¿Se realiza un registro de todos los retiros a fin de
SI NO
mantener una pista de auditoría?
¿Todos los medios son almacenados en un ambiente
seguro y protegido, de acuerdo con las especificaciones SI PARCIAL
de los fabricantes o proveedores?
[A.8.3.2] - Eliminación de soportes
COBERTURA CONTROL:
Aplica
¿Existen controles para destruir de forma segura cintas

NO NO
de impresora de un solo uso?
¿Existen controles para destruir de forma segura cintas
NO SI
magnéticas?
34
Aplica
¿Existen controles para destruir de forma segura discos o

SI SI
casetes removibles?
¿Existen controles para destruir de forma segura medios
de almacenamiento óptico (todos los formatos incluyendo SI SI
todos los medios de distribución de software del
fabricante o proveedor)?
¿Existen controles para destruir de forma segura listados

SI SI
de programas?
¿Existen controles para destruir de forma segura datos
SI SI
de prueba?
¿Existen controles para destruir de forma segura
SI PARCIAL
documentación del sistema?
¿Se registra la eliminación de los ítems sensibles, a fin
SI SI
de mantener una pista de auditoría?
¿Cuándo ya no son requeridos, los medios informáticos
SI PARCIAL
se eliminan de manera segura?
SI SI
documentos en papel?
¿Existen controles para destruir de forma segura voces u
SI NO
otras grabaciones?
¿Existen controles para destruir de forma segura papel
NO SI
carbónico?
SI SI
informes de salida?
[A.8.3.3] - Soportes físicos en tránsito
COBERTURA CONTROL:
35
Aplica
¿Al transportar información, se utilizan medios de

SI SI
transporte o servicios de mensajería confiables?
¿Existen acuerdos con la gerencia sobre la lista de
SI SI
servicios de mensajería autorizados?
36
Aplica
¿Existen procedimientos que permita verificar la

identificación de los mismos de los servicios de SI SI
mensajería autorizados?
¿El embalaje es suficiente como para proteger el
contenido contra eventuales daños físicos durante el SI SI
tránsito y tiene en cuenta las especificaciones de los
fabricantes o proveedores?
15) ¿Existen controles, cuando resulte necesario, a fin de
proteger la información sensible contra divulgación o SI SI
modificación no autorizadas? 15.a) ¿Se usan recipientes
cerrados? 15.b) ¿Se realiza la entrega en mano? 15.c)
¿El embalaje es a prueba de apertura no autorizada (que
revele cualquier intento de acceso)? 15.d) ¿Se realiza
división de la mercadería a enviar en más de una entrega
y envío por diferentes ruta?
37
38
[A.9] - Control de acceso
[A.9.1] - Requisitos de negocio para el control de acceso
[A.9.1.1] - Política de control de acceso
COBERTURA CONTROL:
Aplica
¿La política de control de accesos contempla los

requerimientos de seguridad de cada una de las SI SI
aplicaciones comerciales?
¿En la política de control de acceso se distingue entre los
cambios en los rótulos de información que son iniciados SI SI
automáticamente por las instalaciones de procesamiento
de información y aquellos el usuario inicia según su
criterio?
¿En la política de control de acceso se diferencia entre
las reglas que requieren la aprobación del administrador SI SI
o de otros antes de entrar en vigencia y aquellas que no?
¿La política de control de accesos contempla la

identificación de toda información relacionada con las SI PARCIAL
aplicaciones comerciales?
¿La política de control de accesos contempla las políticas
de divulgación y autorización de información, por ej., el SI SI
principio de necesidad de conocer, y los niveles de
seguridad y la clasificación de la información?

coherencia entre las políticas de control de acceso y de SI SI
clasificación de información de los diferentes sistemas y
redes?
legislación aplicable y obligaciones contractuales con SI SI
respecto a la protección del acceso a datos y servicios?
¿La política de control de accesos contempla los perfiles de acceso de usuarios estándar, comunes a cada categoría
de puestos de trabajo?
39
SI SI
40
Aplica

administración de derechos de acceso en un ambiente SI SI
distribuido y de red que reconozcan todos los tipos de
conexiones disponibles?
¿En la política de control de acceso se diferencia entre
reglas que siempre deben imponerse y reglas optativas o SI SI
condicionales?
¿En la política de control de acceso se establecen reglas
sobre la base de la premisa “¿Qué debe estar SI SI
generalmente prohibido a menos que se permita
expresamente?”, antes que la regla más débil “Todo está
generalmente permitido a menos que se prohíba
expresamente”?
[A.9.1.2] - Acceso a las redes y a los servicios de red
COBERTURA CONTROL:
Aplica
¿Existe una política concerniente al uso de redes y

SI PARCIAL
servicios de red?
¿La política contempla las redes y servicios de red a los
SI SI
cuales se permite el acceso?
¿La política contempla los procedimientos de

autorización para determinar las personas y las redes y SI SI
servicios de red a los cuales tienen permitido el acceso?
¿La política contempla los controles y procedimientos de

gestión para proteger el acceso a las conexiones y SI SI
servicios de red?
¿La política de uso de redes y servicios de red es
coherente con la política de control de accesos de la SI SI
organización?
41
[A.9.2] - Gestión de acceso de usuario
[A.9.2.1] - Registro y baja de usuario
COBERTURA CONTROL:
Aplica
¿Todos los usuarios tienen un identificador único (ID de

SI SI
usuario) para su uso personal?
¿El Id único de usuario, se aplica a todos los tipos de
usuarios (incluyendo el personal de soporte técnico, SI SI
operadores, administradores de redes, programadores de
sistemas y administradores de bases de datos)?
¿Se utilizan los IDs de usuarios para rastrear las

SI PARCIAL
actividades hasta la persona responsable?
¿Las actividades de usuarios regulares no se realizan
SI NO
desde cuentas privilegiadas?
¿Cuándo por circunstancias justificadas se utilice un ID
de usuario compartido para un grupo de usuarios o un SI PARCIAL
trabajo específico, se cuenta con la aprobación de la
gerencia?
¿Se permite el uso de IDs genéricos para una persona
cuando las funciones accesibles o acciones llevadas a SI NO
cabo por el ID no necesitan ser rastreadas (por ejemplo,
sólo acceso de lectura), o cuando existen otros controles
establecidos (por ejemplo, la clave secreta para un ID
genérico sólo es emitido para una persona a la vez y se
registra dicha instancia)?
¿Cuando se requiere autenticación y verificación de

identidad sólidas, se utilizan métodos de autenticación SI NO
alternativos para las claves secretas, como los medios
criptográficos, tarjetas inteligentes, dispositivos o medios
biométricos?
42
[A.9.2.2] - Provisión de acceso de usuario
COBERTURA CONTROL:
Aplica
¿Existe un proceso formal de alta y baja de usuarios para

otorgar acceso a todos los sistemas y servicios de SI SI
información multi–usuario?
¿Se realizan verificaciones periódicas, y se cancelan Ids
SI NO
y cuentas de usuarios redundantes?
¿Se garantiza que los Ids de usuario redundantes no se
SI NO
asignen a otros usuarios?
¿Se han incluidos cláusulas en los contratos de personal
y de servicios que especifiquen sanciones si el personal o SI NO
los agentes que prestan un servicio intentan accesos no
autorizados?
¿El alta de usuarios utiliza Ids de usuario únicos de
manera que se pueda vincular y hacer responsables a los SI NO
usuarios por sus acciones?
¿Cuándo se produce el alta de usuarios, se verifica que
el usuario tiene autorización del propietario del sistema SI NO
para el uso del sistema o servicio de información?
¿Cuándo se produce el alta de usuarios, se verifica que

el nivel de acceso otorgado es adecuado para el SI SI
propósito del negocio y es coherente con la política de
seguridad de la organización, por ej.: Que no
compromete la separación de tareas?
¿Cuándo se produce el alta de usuarios, se entrega a los
usuarios un detalle escrito de sus derechos de acceso? SI SI
¿Se requiere a los usuarios firmen declaraciones

señalando que comprenden las condiciones para el SI SI
acceso?
¿Se garantiza que los proveedores de servicios no
otorgan acceso hasta que se hayan completado los SI SI
procedimientos de autorización?
¿Se mantiene un registro formal de todas las personas
SI PARCIAL
registradas para utilizar el servicio?
43
Aplica
¿Se cancelan inmediatamente los derechos de acceso de

los usuarios que cambiaron sus tareas o se SI NO
desvincularon de la organización?
[A.9.2.3] - Gestión de privilegios de acceso
COBERTURA CONTROL:
Aplica
¿La asignación de privilegios para los sistemas multi–

usuario que requieren protección contra accesos no SI SI
autorizados, se realiza mediante un proceso de
autorización formal?
¿Se identifican los privilegios asociados a cada producto
del sistema por ej. Sistema operativo, sistema de SI SI
administración de bases de datos y aplicaciones, y las
categorías de personal a las cuales deben asignarse los
productos?
¿Los privilegios se asignan a individuos sobre las bases
de la necesidad de uso y evento por evento, por ej. El SI SI
requerimiento mínimo para su rol funcional solo cuando
sea necesario?
¿Se mantiene un proceso de autorización y registro de
SI SI
todos los privilegios asignados?
¿Se promueve el desarrollo y uso de rutinas del sistema
para evitar la necesidad de otorgar privilegios a los SI SI
usuarios?
¿Los privilegios son asignados a una identidad de
usuario diferente de aquellas utilizadas en las actividades SI SI
comerciales normales?
44
[A.9.2.4] - Gestión de la información secreta de autenticación de los usuarios
COBERTURA CONTROL:
Aplica
¿La asignación de contraseñas se controlar a través de

SI SI
un proceso de administración formal?
¿Se requiere a los usuarios que firmen una declaración
por la cual se comprometen a mantener sus contraseñas SI NO
personales en secreto y las contraseñas de los grupos de
trabajo exclusivamente entre los miembros del grupo?
¿Se garantiza, cuando se requiera que los usuarios

SI NO
mantengan a sus propias contraseñas?
¿Cuándo se produce el alta de un usuario, se le entrega
una contraseña provisional segura, que deberán cambiar SI SI
de inmediato?
¿Al requerir contraseñas provisionales para otorgar a los
usuarios de manera segura. Se evita la participación de SI NO
terceros o el uso de mensajes de correo electrónico sin
protección (texto claro)?
¿Cuándo los usuarios reciben el password, acusan
SI NO
recibo?
¿Las contraseñas son almacenadas en sistemas
SI NO
informáticos con protección?
¿Se usan tecnologías de identificación y autenticación de
usuarios, como la biométrica, por Ej.: verificación de SI NO
huellas dactilares, verificación de firma y uso de “tokens”
de hardware, como las tarjetas de circuito integrado
(“chip–cards”)?
45
[A.9.2.5] - Revisión de los derechos de acceso de usuario
COBERTURA CONTROL:
Aplica
¿Los derechos de acceso de los usuarios se revisan a

intervalos regulares (se recomienda un periodo de seis SI PARCIAL
meses) y después de cualquier cambio?
¿Las autorizaciones de privilegios especiales de

derechos de acceso se revisan a intervalos más SI NO
frecuentes (se recomienda un periodo de tres meses)?
¿Las asignaciones de privilegios se verifican a intervalos

regulares, a fin de garantizar que no se obtengan SI SI
privilegios no autorizados?
[A.9.2.6] - Retirada o reasignación de los derechos de acceso
COBERTURA CONTROL:
Aplica
¿Se controla que los derechos de acceso de todos los

usuarios empleados, contratistas y terceras personas a la SI SI
información y los medios de procesamiento de
información sean retirados a la terminación de su empleo,
contrato o acuerdo?
46
Aplica
¿En caso de que el usuario empleado, contratista o

tercera persona que está dejando la organización SI NO
conozca las claves secretas para las cuentas aún activas,
estas son cambiadas a la terminación o cambio del
empleo, contrato o acuerdo?
¿Los derechos de acceso para los activos de información

y los medios de procesamiento de información se SI SI
reducen o retiran antes de la terminación o cambio del
empleo?
¿A la hora de retirar o reducir los derechos de acceso, se
evalúa si la terminación o cambio es iniciado por el SI PARCIAL
usuario empleado, contratista o tercera persona, o por la
gerencia y la razón de la terminación?

evalúan las responsabilidades actuales del usuario SI SI
empleado, contratista o cualquier otro usuario?
evalúa el valor de los activos actualmente disponibles? SI NO
[A.9.3] - Responsabilidades de usuario
[A.9.3.1] - Uso de la información secreta de autenticación
COBERTURA CONTROL:
Aplica
¿Se ha notificado a los usuarios que deben mantener las

SI PARCIAL
contraseñas en secreto?
¿Se ha notificado a los usuarios que deben evitar
mantener un registro en papel de las contraseñas, a SI NO
menos que este pueda ser almacenado en forma segura?
¿Se ha notificado a los usuarios que deben cambiar las compromiso del sistema o de las contraseñas?
contraseñas siempre que exista un posible indicio de
47
SI NO
48
Aplica
¿Se ha notificado a los usuarios que deben seleccionar

contraseñas de calidad, con una longitud mínima de seis SI NO
caracteres que a) sean fáciles de recordar b) no estén
basadas en algún dato que otra persona pueda adivinar u
obtener fácilmente mediante información relacionada con
la persona, c) no tengan caracteres idénticos
consecutivos o grupos totalmente numéricos o total–
mente alfabéticos?
¿Se ha notificado a los usuarios que deben cambiar las

contraseñas a intervalos regulares o según el número de SI NO
acceso (las contraseñas de cuentas con privilegios deben
ser modificadas con mayor frecuencia que las
contraseñas comunes), y evitar reutilizar o reciclar viejas
contraseñas?
¿Se ha notificado a los usuarios que deben cambiar las
contraseñas provisionales en el primer inicio de sesión SI SI
(“log on”)?
¿Se ha notificado a los usuarios que deben no incluir
contraseñas en los procesos automatizados de inicio de SI NO
sesión, por ej.: aquellas almacenadas en una tecla de
función o macro?
¿Se ha notificado a los usuarios que deben no compartir
SI NO
las contraseñas individuales de usuario?
[A.9.4] - Control de acceso a sistemas y aplicaciones
[A.9.4.1] - Restricción del acceso a la información
COBERTURA CONTROL:
Aplica
¿Se pueden gestionar los menús para controlar el acceso

a las funciones de los sistemas de aplicación? SI PARCIAL
¿Existen restricciones del conocimiento de los usuarios

acerca de la información o de las funciones de los SI SI
sistemas de aplicación a las cuales no están autorizadas
a acceder?
49
Aplica
¿Existe control sobre los derechos de acceso de los

usuarios, por ej. Lectura, escritura, supresión y SI SI
ejecución?
¿Se garantiza que las salidas (outputs) de los sistemas
de aplicación que administran información sensible, SI NO
contienen solo la información que resulte pertinente para
el uso de la salida, y que la misma se envíe solamente a
las terminales y ubicaciones autorizadas, y se revisan
periódicamente dichas salidas a fin de garantizar la
eliminación de la información redundante?
[A.9.4.2] - Procedimientos seguros de inicio de sesión
COBERTURA CONTROL:
Aplica
¿El acceso a los sistemas operativos es controlado

SI NO
mediante un procedimiento de registro seguro?
¿El procedimiento de registro, fuerza un tiempo de
espera antes de permitir más intentos de registro o SI SI
rechazar cualquier otro intento sin una autorización
específica?
¿El procedimiento de registro, desconecta las conexiones
SI NO
de vínculo a los datos?
¿El procedimiento de registro, establece el número de
re–intentos de clave secreta en conjunción con el largo SI NO
mínimo de la clave secreta y el valor del sistema que se
está protegiendo?
¿El procedimiento de registro, limita el tiempo máximo y
mínimo permitido para el procedimiento de registro? SI SI
¿El procedimiento de registro, muestra la siguiente

información a la culminación de un registro satisfactorio: SI SI
fecha y hora del registro satisfactorio previo; detalles de
cualquier intento infructuoso desde el último registro
satisfactorio?
¿El procedimiento de registro, no debe mostrar la clave
SI NO
secreta que se está ingresando?
50
Aplica
¿El procedimiento de registro, no debe transmitir claves

secretas en un texto abierto a través de la red? SI NO
¿El procedimiento para registrarse en un sistema de

operación debiera ha sido diseñado de manera que SI SI
minimice la oportunidad de un acceso no autorizado?
¿El procedimiento para registrarse divulga el mínimo de

información acerca del sistema para evitar proporcionar SI NO
al usuario no–autorizado ninguna ayuda innecesaria?
¿El procedimiento de registro no muestra identificadores

del sistema o aplicación hasta que se haya completado SI SI
satisfactoriamente el proceso de registro?
¿El procedimiento de registro muestra la advertencia

general que a la computadora sólo pueden tener acceso SI SI
los usuarios autorizados?
¿El procedimiento de registro no proporciona mensajes
de ayuda durante el procedimiento de registro que SI NO
ayuden al usuario no–autorizado?
¿El procedimiento de registro sólo valido la información
del registro después de completar todo el input de datos? SI SI
¿Las sesiones inactivas son después de un período de

SI NO
inactividad definido?
¿Existe un dispositivo de cierre encargado de borrar la
pantalla de la sesión y cerrar la aplicación y las sesiones SI NO
en red después de un período de inactividad definido?
¿El tiempo de espera antes del cierre esta definidos

según los riesgos de seguridad del área, la clasificación SI SI
de la información que está siendo manejada y la
aplicación siendo utilizada, y los riesgos relacionados con
los usuarios del equipo?
¿Las aplicaciones informáticas catalogadas como
sensibles tienen restricciones de conexión limitadas al SI NO
horario de uso?
51
[A.9.4.3] - Sistema de gestión de contraseñas
COBERTURA CONTROL:
Aplica
¿El sistema de administración de contraseñas impone el

uso de contraseñas individuales para determinar SI NO
responsabilidades?
¿El sistema de administración de contraseñas permite
que los usuarios seleccionen y cambien sus propias SI SI
contraseñas e incluye un procedimiento de confirmación
para contemplar los errores de ingreso?
¿El sistema de administración de contraseñas impone

SI NO
una selección de contraseñas de calidad?
¿Cuando los usuarios mantienen sus propias
SI SI
contraseñas, se imponen cambios en las mismas?
¿Cuando los usuarios seleccionan contraseñas, se les
obliga a cambiar las contraseñas temporales en su primer SI SI
procedimiento de identificación
¿Se mantiene un registro de las contraseñas previas del
usuario, por ej. De los 12 meses anteriores, y se evita la SI NO
reutilización de las mismas?
¿No se muestran las contraseñas en pantalla, cuando

SI SI
son ingresadas?
¿Se almacenan en forma separada los archivos de
SI SI
contraseñas y los datos de sistemas de aplicación?
¿Se almacenan las contraseñas en forma cifrada
SI SI
utilizando un algoritmo de cifrado unidireccional?
¿Se modifican las contraseñas predeterminadas por el
SI SI
vendedor, una vez instalado el software?
52
[A.9.4.4] - Uso de utilidades con privilegios
COBERTURA CONTROL:
Aplica
¿Se usan procedimientos de autenticación para las

SI SI
utilidades del sistema?
¿Existe una separación entre utilitarios del sistema y
SI NO
software de aplicaciones?
¿Está limitado el uso de utilitarios del sistema a la
cantidad mínima viable de usuarios fiables y autorizados? SI SI
¿Existe autorización para uso ad hoc de utilitarios de

NO SI
sistema?
¿Esta limitada la disponibilidad de utilitarios de sistema,
por ej. A la duración de un cambio autorizado? SI NO
¿Se tiene un registro de todo uso de utilitarios del

SI SI
sistema?
¿Existe una definición y documentación de los niveles de
autorización para utilitarios del sistema? SI SI
¿Se elimina todo el software basado en utilitarios y

SI SI
software de sistema innecesarios?
[A.9.4.5] - Control de acesso al código fuente de los programas
COBERTURA CONTROL:
53
54
Aplica
¿Las bibliotecas de programas fuente son almacenadas

en los sistemas que están operativos? SI SI
¿Se ha designado a un bibliotecario de programas para

NO SI
cada aplicación?
¿El personal de soporte de TI tiene acceso irrestricto a
SI SI
las bibliotecas de programas fuente?
¿Los programas en desarrollo o mantenimiento no deben
ser almacenados en las bibliotecas de programas fuente SI SI
operacional?
¿La actualización de bibliotecas de programas fuente y la
distribución de programas fuente a los programadores, es SI SI
llevada a cabo por el bibliotecario designado, y solo por
él?
¿Cuándo se realiza la actualización de bibliotecas de
programas fuente por el bibliotecario designado, se exige SI SI
la autorización del gerente de soporte de TI?
¿Existe una ubicación definida para almacenar los Ruta compartida

SI SI
listados de los programas. Cual? \\192.168.70.2
¿Se mantiene un registro de auditoría de todos los
SI SI
accesos a las bibliotecas de programa fuente?
¿Las viejas versiones de los programas fuente deben son
archivadas con una clara indicación de las fechas y horas SI SI
precisas en las cuales estaban en operaciones, junto con
todo el software de soporte, el control de tareas, las
definiciones de datos y los procedimientos?
¿El mantenimiento y la copia de las bibliotecas de

programas fuente está sujeta a procedimientos estrictos SI SI
de control de cambios?
55
56
[A.10] - Criptografía
[A.10.1] - Controles criptográficos
[A.10.1.1] - Política de uso de los controles criptográficos
COBERTURA CONTROL:
Aplica
¿Se utiliza algún tipo de solución criptográfica? NO SI
¿Existe alguna política definida para el uso de controles

criptográficos para la protección de la información? NO SI
[A.10.1.2] - Gestión de claves
COBERTURA CONTROL:
Aplica
¿Existen procedimientos para proteger las claves

secretas y privadas contra divulgación no autorizada? SI NO
¿Está provisto de protección física el equipamiento

utilizado para generar, almacenar y archivar claves? SI NO
57
Aplica
¿Existen normas, procedimientos y métodos seguros,

que permitan generar claves para diferentes sistemas SI NO
criptográficos y diferentes aplicaciones?

que permitan generar y obtener certificados de clave SI NO
pública?
que permitan distribuir claves a los usuarios que SI NO
corresponda, incluyendo como deben activarse las claves
cuando se reciben?
que permitan almacenar claves, incluyendo como SI PARCIAL
obtienen acceso a las claves los usuarios autorizados?

que permitan cambiar o actualizar claves incluyendo SI PARCIAL
reglas sobre cuando y como deben cambiarse las
claves?
que permitan ocuparse de las claves comprometidas? SI PARCIAL

que permitan revocar claves incluyendo como deben SI NO
retirarse o desactivarse las mismas, por ej. Cuando las
claves están comprometidas o cuando un usuario se
desvincula de la organización (en cuyo caso las claves
también deben archivarse)?

que permitan recuperar claves perdidas o alteradas como SI NO
parte de la administración de la continuidad del negocio,
por ej. La recuperación de la información cifrada?

que permitan archivar claves, por ej. , para la información SI NO
archivada o resguardada?
SI NO
que permitan destruir claves?
que permitan registrar (logging) y auditar las actividades SI NO
relativas a la administración de claves?
¿Los listados de claves tienen fechas de entrada en Con una autoridad de certificación, deben comprender los
vigencia y de fin de vigencia? tópicos de responsabilidad legal, confiabilidad del servicio y
tiempos de respuesta para la prestación de los mismos?
¿Existen acuerdos de nivel de servicios o contratos con
proveedores externos de servicios criptográficos, por ej.
58
SI SI
SI NO
59
Aplica
¿Se usan certificados de clave pública, para proteger la

SI NO
integridad de la clave pública?
¿Existe algún sistema de administración que permita usar
de forma eficaz las técnicas criptográficas? SI NO
¿Existen procedimientos para proteger las claves contra

SI NO
modificación y destrucción?
60
61
[A.11] - Seguridad física y del entorno
[A.11.1] - Áreas seguras
[A.11.1.1] - Perímetro de seguridad física
COBERTURA CONTROL:
Aplica
¿El perímetro de seguridad está claramente definido?

SI SI
¿El perímetro de un edificio o área que contenga

instalaciones de procesamiento de información debe ser SI SI
físicamente sólido?
¿Las paredes externas del área son de construcción
SI SI
sólida?
¿Todas las puertas que comunican con el exterior están
adecuadamente protegidas contra accesos no SI SI
autorizados?
¿Existe un área de recepción atendida por personal u
otros medios de control de acceso físico al área o SI SI
edificio?
¿El acceso a las distintas áreas y edificios está
SI SI
restringido exclusivamente al personal autorizado?
¿Las barreras físicas se extienden desde el piso (real)
hasta el techo (real), a fin de impedir el ingreso no SI SI
autorizado y la contaminación ambiental, por ejemplo, la
ocasionada por incendio e inundación?
¿Las puertas de incendio de un perímetro de seguridad

tienen alarma y se cierran automáticamente al activarse SI SI
la misma?
62
[A.11.1.2] - Controles físicos de entrada
COBERTURA CONTROL:
Aplica
¿El acceso se realiza con propósitos específicos y

SI SI
autorizados
¿Se instruye al visitante sobre los requerimientos de
seguridad del área y los procedimientos de emergencia? SI SI
¿El acceso a la información sensible, y a las

instalaciones de procesamiento de información, es SI SI
controlado y limitado exclusivamente a las personas
autorizadas?
¿Se utilizan controles de autenticación, por ej.: Tarjeta y
número de identificación personal (PIN), para autorizar y SI SI
validar todos los accesos?
¿Se mantiene una pista protegida que permita auditar
SI SI
todos los accesos?
¿El personal exhibe alguna forma de identificación
SI SI
visible?
¿El personal ha sido concienciado para cuestionar la
presencia de desconocidos no escoltados y a cualquier SI SI
persona que no exhiba una identificación visible?
¿Se revisan y actualizan periódicamente los derechos de

SI SI
acceso a las áreas protegidas?
¿Cuándo se realizan visitas a áreas protegidas queda
registrada la fecha y horario de su ingreso y regreso? SI SI
63
[A.11.1.3] - Seguridad de oficinas, despachos y recursos
COBERTURA CONTROL:
Aplica
¿Las instalaciones clave están ubicadas en sitios a los

SI SI
cuales no puede acceder el público?
¿Los edificios son discretos, sin ofrecer un señalamiento
mínimo de su propósito, sin signos obvios, exteriores o SI SI
interiores, que identifiquen la presencia de actividades de
procesamiento de información?
¿Las funciones y el equipamiento de soporte, por ej.

Fotocopiadoras, máquinas de fax, están ubicados SI SI
adecuadamente dentro del área protegida para evitar
solicitudes de acceso, el cual podría comprometer la
información?
¿Las puertas y ventanas están bloqueadas cuando no
SI SI
hay vigilancia?
¿Existen sistemas adecuados de detección de intrusos?

SI SI
¿Los sistemas de detección de intrusos han sido

instalados según estándares profesionales y probados SI SI
periódicamente?
¿Estos sistemas comprenden todas las puertas
SI SI
exteriores y ventanas accesibles?
¿Las áreas vacías tienen alarmas activadas en todo
SI SI
momento?
¿Están protegidas con alarmas salas como la sala de
SI SI
cómputos o las salas de comunicaciones?
¿Las instalaciones de procesamiento de información
administradas por la organización están físicamente SI SI
separadas de aquellas administradas por terceros?
¿Los guías telefónicos y listados de teléfonos internos

que identifican las ubicaciones de las instalaciones de SI SI
procesamiento de información sensible no son fácilmente
accesibles al público?
64
Aplica
¿Los materiales peligrosos o combustibles están

almacenados en lugares seguros a una distancia SI SI
prudencial del área protegida?
¿Los suministros a granel, como los útiles de escritorio,

no deben ser almacenados en el área protegida hasta SI SI
que sean requeridos?
¿El equipamiento de sistemas de soporte UPC (Usage
Parameter Control) de reposición de información perdida SI SI
("fallback") y los medios informáticos de resguardo están
situados a una distancia prudencial para evitar daños
ocasionados por eventuales desastres en el sitio
principal?
[A.11.1.4] - Protección contra las amenazas externas y ambientales
COBERTURA CONTROL:
Aplica
¿Existe protección física contra daño por fuego,

inundación, terremoto, explosión, revuelta civil y otras SI SI
formas de desastres naturales o causados por el
hombre?
¿Se considera la amenaza contra la seguridad
SI SI
presentada por locales vecinos?
¿Los materiales peligrosos o combustibles debieran
están almacenados a una distancia segura del área SI SI
asegurada?
¿Los suministros a granel como papelería están
SI SI
separados del área asegurada?
¿El equipo de reemplazo y los medios de respaldo están
ubicados a una distancia segura para evitar el daño de un SI SI
desastre que afecte el local principal?
¿Existe un equipo contra–incendios ubicado

SI SI
adecuadamente?
65
[A.11.1.5] - El trabajo en áreas seguras
COBERTURA CONTROL:
Aplica
¿Se aplica el criterio de “necesidad de conocer” al

SI SI
personal?
¿Se controla el trabajo en las áreas protegidas? SI SI
¿Las áreas protegidas desocupadas son físicamente

bloqueadas y periódicamente inspeccionadas? SI SI
¿El personal del servicio de soporte externo tiene acceso

limitado a las áreas protegidas o a las instalaciones de SI SI
procesamiento de información sensible?
¿Este acceso caso de producirse es autorizado y

SI SI
monitoreado?
¿Existen barreras y perímetros adicionales para controlar
el acceso físico entre áreas con diferentes requerimientos SI SI
de seguridad, y que están ubicadas dentro del mismo
perímetro de seguridad?
¿Se controla que a menos que se autorice

expresamente, no se permita el ingreso de equipos SI SI
fotográficos, de vídeo, audio u otro tipo de equipamiento
que registre información en las áreas protegidas?
66
[A.11.1.6] - Áreas de carga y descarga
COBERTURA CONTROL:
Aplica
¿El acceso a las áreas de depósito, desde el exterior de

la sede de la organización, está limitado a personal que SI SI
sea previamente identificado y autorizado?
¿El área de depósito está diseñada de manera tal que los

suministros puedan ser descargados sin que el personal SI SI
que realiza la entrega acceda a otros sectores del
edificio?
¿Todas las puertas exteriores de un área de depósito son
aseguradas cuando se abre la puerta interna? SI SI
¿El material entrante es inspeccionado para descartar

peligros potenciales antes de ser trasladado desde el SI SI
área de depósito hasta el lugar de uso?
¿El material entrante es registrado, al ingresar al sitio

SI SI
pertinente?
[A.11.2] - Seguridad de los equipos
[A.11.2.1] - Emplazamiento y protección de equipos
COBERTURA CONTROL:
67
Aplica
¿Las instalaciones de procesamiento y almacenamiento

de información, que manejan datos sensibles, están SI SI
ubicadas en un sitio que permite reducir el riesgo de falta
de supervisión de las mismas durante su uso?
¿Existen controles que permiten minimizar el riesgo de

SI SI
amenazas potenciales?
¿La organización tiene definida una política respecto de
comer, beber y fumar cerca de las instalaciones de SI SI
procesamiento de información?
¿Se han monitoreado las condiciones ambientales para
verificar que las mismas no puedan afectar de manera SI SI
adversa el funcionamiento de las instalaciones de
procesamiento de la información?
¿Se ha tenido en cuenta el uso de métodos de protección
especial, como las membranas de teclado, para los SI SI
equipos ubicados en ambientes industriales?
¿Se ha considerado el impacto de un eventual desastre

que tenga lugar en zonas próximas a la sede de la SI SI
organización, por ej. Un incendio en un edificio cercano,
la filtración de agua desde el cielo raso o en pisos por
debajo del nivel del suelo o una explosión en la calle?
[A.11.2.2] - Instalaciones de suministro
COBERTURA CONTROL:
Aplica
¿Existe algún generador de respaldo? SI SI
¿El plan de contingencia contempla las acciones que han

SI SI
de emprenderse ante una falla de la UPS?
¿Los equipos de UPS son inspeccionados
periódicamente para asegurar que tienen la capacidad SI SI
requerida?
68
Aplica
¿Los equipos de UPS son probados de conformidad con

las recomendaciones del fabricante o proveedor? SI SI
¿Se ha estudiado la necesidad del empleo de un

generador de respaldo si el procesamiento ha de SI SI
continuar en caso de una falla prolongada en el
suministro de energía?
¿Se realiza una prueba periódica del generador de
acuerdo con las instrucciones del fabricante o proveedor? SI SI
¿En caso de tener generado, se dispone de un adecuado

suministro de combustible para garantizar que el SI SI
generador pueda funcionar por un período prolongado?
¿Los interruptores de emergencia están ubicados cerca

de las salidas de emergencia de las salas donde se SI SI
encuentra el equipamiento, a fin de facilitar un corte
rápido de la energía en caso de producirse una situación
crítica?
¿Las instalaciones tienen la adecuada “iluminación de
emergencia” en caso de producirse una falla en el SI SI
suministro principal de energía?
¿Existe protección contra rayos en el edificio? SI SI
¿Existen filtros de protección contra rayos en las líneas

SI SI
de comunicaciones externas?
¿Se cuenta con un adecuado suministro de energía que
esté de acuerdo con las especificaciones del fabricante o SI SI
proveedor de los equipos?
¿Se tienen múltiples bocas de suministro para evitar un

único punto de falla en el suministro de energía? SI SI
¿Existe un suministro de energía ininterrumpible (UPS)?

SI SI
[A.11.2.3] - Seguridad del cableado
COBERTURA CONTROL:
69
70
Aplica
¿Las líneas de energía eléctrica y telecomunicaciones

que se conectan con las instalaciones de procesamiento SI SI
de información son subterráneas, siempre que sea
posible, o sujetas a una adecuada protección alternativa?
¿El cableado de red está protegido contra interceptación

no autorizada o daño, por ejemplo mediante el uso de SI SI
conductos o evitando trayectos que atraviesen áreas
públicas?
¿Los cables de energía están separados de los cables de
comunicaciones para evitar interferencias? SI SI
¿Se tienen Instalaciones de conductos blindados y

recintos o cajas con cerradura en los puntos terminales y SI SI
de inspección?
¿Se usan rutas o medios de transmisión alternativos?
SI SI
¿Se usa cableado de fibra óptica? SI SI
[A.11.2.4] - Mantenimiento de los equipos
COBERTURA CONTROL:
Aplica
¿El equipamiento se mantiene de acuerdo con los

intervalos de servicio y especificaciones recomendados SI SI
por el proveedor?
¿Sólo el personal de mantenimiento autorizado brinda
mantenimiento y lleva a cabo reparaciones en el SI SI
equipamiento?
¿Se mantienen registros de todas las fallas supuestas o
reales y de todo el mantenimiento preventivo y SI SI
correctivo?
¿Existen controles cuando se retiran equipos de la sede
SI SI
de la organización para su mantenimiento?
71
[A.11.2.5] - Retirada de materiales propiedad de la empresa
COBERTURA CONTROL:
Aplica
¿El equipamiento, la información o el software son

retirados de la sede de la organización sin autorización? SI SI
¿Se realizan comprobaciones puntuales para detectar el

retiro no autorizado de activos de la organización? SI SI
¿El personal conoce la posibilidad de realización de

SI SI
dichas comprobaciones?
[A.11.2.6] - Seguridad de los equipos fuera de las instalaciones
COBERTURA CONTROL:
Aplica
¿El equipamiento y dispositivos retirados del ámbito de la

organización permanecen desatendidos en lugares SI SI
públicos?
¿Las computadoras personales son transportadas como
SI SI
equipaje de mano durante el viaje?
¿Los equipamientos de la organización que están fuera

de la misma, tienen una cobertura de seguro? SI SI
72
Aplica
¿Se tienen en cuenta que los riesgos de seguridad, por

ej. El daño, robo o escucha subrepticia, pueden variar SI SI
considerablemente según las ubicaciones y deben ser
tenidas en cuenta al determinar los controles más
apropiados?
[A.11.2.7] - Reutilización o eliminación segura de equipos
COBERTURA CONTROL:
Aplica
¿Al reutilizar el equipamiento, se controla la información

SI SI
que poseen?
¿Los medios de almacenamiento que contienen material
sensitivo, son físicamente destruidos o sobrescritos en SI SI
forma segura en vez de utilizar las funciones de borrado
1estándar?
¿Los elementos del equipamiento que contengan
dispositivos de almacenamiento, por ej. Discos rígidos no SI SI
removibles, son controlados para asegurar que todos los
datos sensitivos y el software bajo licencia, han sido
eliminados o sobrescritos antes de su baja?
¿Se realizan análisis de riesgo a fin de determinar si

medios de almacenamiento dañados, conteniendo datos SI SI
sensitivos, deben ser destruidos, reparados o
desechados?
73
[A.11.2.8] - Equipo de usuario desatendido
COBERTURA CONTROL:
Aplica
¿Se ha notificado a los usuarios que deben concluir las

sesiones activas al finalizar las tareas, a menos que SI SI
puedan protegerse mediante un mecanismo de bloqueo
adecuado, por ej. Un preservador de pantallas protegido
por contraseña?
¿Se ha notificado a los usuarios que deben llevar a cabo

el procedimiento de salida de los procesadores centrales SI SI
cuando finaliza la sesión (no solo apagar la PC o
terminal)?
¿Se ha notificado a los usuarios que deben proteger las
PCs o terminales contra usos no autorizados mediante un SI SI
bloqueo de seguridad o control equivalente, por ej.
Contraseña de acceso, cuando no se utilizan?
¿Los usuarios garantizan que los equipos desatendidos

SI SI
estén protegidos adecuadamente?
[A.11.2.9] - Política de puesto de trabajo despejado y pantalla limpia
COBERTURA CONTROL:
74
Aplica
¿Cuándo corresponde, los documentos en papel y los

medios informáticos son almacenados bajo llave en SI SI
gabinetes y/u otro tipo de mobiliario seguro cuando no
están siendo utilizados, especialmente fuera del horario
de trabajo?
¿La información sensible o crítica de la empresa se
guardar bajo llave (preferentemente en una caja fuerte o SI SI
gabinete a prueba de incendios) cuando no está en uso,
especialmente cuando no hay personal en la oficina?
¿Las computadoras personales, terminales e impresoras

están accesibles cuando están desatendidas? SI SI
¿Están protegidos los puntos de recepción y envío de

correo y las máquinas de fax y telex no atendidas? SI SI
¿Las fotocopiadoras están bloqueadas (o protegidas de

alguna manera, del uso no autorizado) fuera del horario SI SI
normal de trabajo?
¿La información sensible o confidencial, una vez impresa,
es retirada de la impresora inmediatamente? SI SI
75
76
[A.12] - Seguridad de las operaciones
[A.12.1] - Procedimientos y responsabilidades operacionales
[A.12.1.1] - Documentación de procedimientos de la operación
COBERTURA CONTROL:
Aplica
¿Los procedimientos de comunicación y operaciones

incluyen las tareas de procesamiento y manejo de la SI SI
información?
incluyen las tareas requerimientos de programación SI SI
(“schedulling”), incluyendo interdependencias con otros
sistemas, tiempos de inicio de primeras tareas y tiempos
de terminación de últimas tareas?

incluyen instrucciones para el manejo de errores u otras SI SI
condiciones excepcionales que podrían surgir durante la
ejecución de tareas, incluyendo restricciones en el uso de
utilidades del sistema?

incluyen las personas de soporte a contactar en caso de SI SI
dificultades operativas o técnicas imprevistas?

incluyen instrucciones especiales para el manejo de SI SI
salidas (“outputs”), como el uso de papelería especial o la
administración de salidas confidenciales, incluyendo
procedimientos para la eliminación segura de salidas de
tareas fallidas?

incluyen reinicio del sistema y procedimientos de SI SI
recuperación en caso de producirse fallas en el sistema?
77
Aplica
¿Existe documentación sobre procedimientos referidos a

actividades de mantenimiento del sistema, relacionadas SI SI
con las instalaciones de procesamiento de información y
comunicaciones. Ej: procedimientos de inicio y cierre,
1resguardo, mantenimiento de equipos, salas de
cómputos y administración y seguridad del manejo de
correo?
[A.12.1.2] - Gestión de cambios
COBERTURA CONTROL:
Aplica
¿Existe un control de cambios en los medios y sistemas

SI SI
de procesamiento de la información?
¿Al realizar los cambios se identifican los activos y se
SI SI
registran los cambios?
¿Al realizar los cambios se realiza una planificación

SI SI
previa y se planifican las pruebas?
¿Al realizar los cambios se realiza una evaluación del
impacto potencial del cambio, incluyendo los impactos de SI SI
seguridad?
¿Existe un procedimiento para la aprobación formal de
SI SI
los cambios propuestos?
¿Al realizar los cambios se realiza una comunicación de
los detalles del cambio para todas las personas SI SI
relevantes?
¿Existen procedimientos de emergencia y respaldo,
incluyendo los procedimientos y responsabilidades para SI SI
abortar y recuperarse de cambios fallidos y eventos
inesperados?
¿Cuándo se realizan los cambios, se mantiene un
registro de auditoría conteniendo toda la información SI SI
relevante?
78
[A.12.1.3] - Gestión de capacidades
COBERTURA CONTROL:
Aplica
¿Se monitorear las demandas de capacidad? SI SI
¿Se realizan proyecciones de los futuros requerimientos

de capacidad, a fin de garantizar la disponibilidad del SI SI
poder de procesamiento y almacenamiento adecuados?
¿Las proyecciones para futuros requerimientos de

capacidad, toman en cuenta los nuevos requerimientos SI SI
de negocios y sistemas y las tendencias actuales
proyectadas en el procesamiento de la información de la
organización?
¿Los administradores de servicios mainframe monitorean

la utilización de los recursos clave del sistema, SI SI
incluyendo procesadores, almacenamiento principal,
almacenamiento de archivos, impresoras y otros medios
de salida (“output”), y sistemas de comunicaciones?
¿Los responsables del Dpto. de Informática utilizan esta

información para identificar y evitar potenciales cuellos de SI SI
botella que podrían plantear una amenaza a la seguridad
del sistema o a los servicios del usuario, y planificar una
adecuada acción correctiva?
79
[A.12.1.4] - Separación de los recursos de desarrollo, prueba y operación
COBERTURA CONTROL:
Aplica
¿Están definidos entornos de desarrollo, prueba y

SI SI
operaciones?
¿Están definidas y documentas las reglas para la
transferencia de software desde el estado de desarrollo SI SI
hacia el estado operativo?
¿Está correctamente segregadas las funciones y accesos
SI SI
entre desarrollo y pruebas?
¿El personal de desarrollo y prueba tiene acceso al
SI SI
sistema que esta operativo y a su información?
¿Se controla la confidencialidad de la información con
SI SI
respecto al personal de desarrollo y pruebas?
¿El software en desarrollo y en operaciones se ejecuta
en diferentes procesadores o en diferentes dominios o SI SI
directorios?
¿Los compiladores, editores y otros utilitarios del sistema
están correctamente protegidos para que sean accesibles SI SI
desde los sistemas que están operativos?
¿Se utilizan diferentes procedimientos de conexión

(“log–on”) para sistemas en operaciones y de prueba, a SI SI
fin de reducir el riesgo de error?
¿Se obliga a los usuarios a utilizar diferentes contraseñas
para los sistemas de producción y pruebas? SI SI
¿Existe mensajes de identificación que permiten

SI SI
distinguir los entornos de producción y pruebas?
¿Existen controles que garanticen que cuando el
personal de desarrollo accede a una contraseña SI SI
operativa esta se modifique?
80
[A.12.2] - Protección contra el software malicioso
[A.12.2.1] - Controles contra el código malicioso
COBERTURA CONTROL:
Aplica
¿Existe una política formal que requiera el uso de

software con licencia y prohíba el uso de software no SI SI
autorizado?
¿Existen procedimientos para verificar toda la
SI SI
información relativa a software malicioso?
¿Se ha concienciado al personal acerca del problema de
los virus falsos (hoax) y de qué hacer al recibirlos? SI SI
¿Existe una política formal con el fin de proteger contra

los riesgos relacionados con la obtención de archivos y SI SI
software desde o a través de redes externas, o por
cualquier otro medio, señalando qué medidas de
protección deberían tomarse?
¿Existe un procedimiento para la instalación y
actualización periódica de software de detección y SI SI
reparación anti–virus, para examinar computadoras y
medios informáticos, ya sea como medida precautoria o
rutinaria?
¿Existe un procedimiento para la realización de
revisiones periódicas del contenido de software y datos SI SI
de los sistemas que sustentan procesos críticos de la
empresa?
¿En caso de detectar la presencia de archivos no
aprobados o modificaciones no autorizadas se realiza SI SI
una investigación formal?
¿Existen controles para la verificación de la presencia de
virus en archivos de medios electrónicos de origen SI SI
incierto o no autorizado, o en archivos recibidos a través
de redes no confiables, antes de su uso?
81
Aplica
¿Existen controles para la verificación de la presencia de

software malicioso en archivos adjuntos a mensajes de SI SI
correo electrónico y archivos descargados por Internet
(“downloads”) antes de su uso?
¿Están definidos los procedimientos y responsabilidades

gerenciales para administrar la protección contra virus en SI SI
los sistemas, el entrenamiento con respecto a su uso, la
comunicación y la recuperación frente a ataques?
¿Existen adecuados planes de continuidad de los

negocios para la recuperación respecto de ataques de SI SI
virus, incluyendo todos los datos necesarios, el resguardo
del software y las disposiciones para la recuperación?
¿Al autorizar el uso de códigos móviles, la configuración

asegura que el código móvil autorizado opera de acuerdo SI SI
con una política de seguridad claramente definida?
[A.12.3] - Copias de seguridad
[A.12.3.1] - Copias de seguridad de la información
COBERTURA CONTROL:
Aplica
¿Se realizan copias de respaldo de la información y

SI SI
software?
¿La información de respaldo tiene el nivel de protección
física y ambiental apropiado, consistente con los SI SI
estándares aplicados en el local principal?
¿Los medios de respaldo se prueban regularmente para

asegurar que se puedan confiar en ellos para usarlos SI SI
cuando sea necesaria en caso de emergencia?
82
Aplica
¿Los procedimientos de restauración se chequean y

prueban regularmente para asegurar que sean efectivos SI SI
y que pueden ser completados dentro del tiempo
asignado en los procedimientos operacionales para la
recuperación?
¿Cuándo la confidencialidad es de importancia, las

copias de respaldo están protegidas por medios de una SI SI
codificación?
¿Los procedimientos de respaldo para los sistemas
individuales son probados regularmente para asegurar SI SI
que cumplan con los requerimientos de los planes de
continuidad del negocio?
¿Se prueban las copias de respaldo regularmente en
concordancia con la política de copias de respaldo SI SI
acordada?
¿Existen medios de respaldo adecuados para asegurar
que toda la información esencial y software se pueda SI SI
recuperar después de un desastre o falla de medios?
¿Está definido el nivel necesario de respaldo de la

SI SI
información?
¿Existen registros exactos y completos de las copias de
respaldo y procedimientos documentados de la SI SI
restauración?
¿Se encuentra reflejada en los requerimientos
comerciales de la organización, la extensión (por SI SI
ejemplo, respaldo completo o diferencial) y la frecuencia
de los respaldos?
comerciales de la organización, los requerimientos de SI SI
seguridad de la información involucrada?
comerciales de la organización, el grado crítico de la SI SI
información para la operación continua de la
organización?
¿Las copias de respaldo están almacenadas en un lugar
apartado, a la distancia suficiente como para escapar de SI SI
cualquier daño por un desastre en el local principal?
[A.12.4] - Registros y supervisión
83
[A.12.4.1] - Registro de eventos
COBERTURA CONTROL:
Aplica
¿Existen y se mantiene registros de auditoría de las

actividades, excepciones y eventos de seguridad de la SI SI
información durante un período acordado para ayudar en
investigaciones futuras y monitorear el control de
acceso?
¿Cuándo son relevantes los registros de auditoría
incluyen archivos a los cuales se tuvo acceso y los tipos SI SI
de acceso?
SI SI
incluyen direcciones y protocolos de la red?
incluyen alarmas activadas por el sistema de control de SI SI
acceso?
incluyen la activación y desactivación de los sistemas de SI SI
protección; como sistemas anti–virus y sistemas de
detección de intrusiones?
SI SI
incluyen Ids?
incluyen fechas, horas y detalles de eventos claves; por SI SI
ejemplo, ingreso y salida?
SI SI
incluyen la identidad o ubicación de la identidad?
incluyen los registros de intentos de acceso fallidos y SI SI
rechazados al sistema?
incluyen los registros de intentos de acceso fallidos y SI SI
rechazados a la data y otros recursos?
incluyen los cambios en la configuración del sistema? SI SI

SI SI
incluyen el uso de privilegios?
84
Aplica

incluyen el uso de las utilidades y aplicaciones del SI SI
sistema?
¿Existen procedimientos para el monitoreo del uso de los
medios de procesamiento de la información? SI SI
¿La frecuencia con que se revisan los resultados de las

actividades de monitoreo depende de los riesgos SI SI
involucrados?
¿Se revisan regularmente los resultados de las
SI SI
actividades de monitoreo?
¿Está determinado el nivel de monitoreo requerido para
los medios individuales mediante una evaluación del SI SI
riesgo?
¿Se cumple con los requerimientos legales relevantes
aplicables para sus actividades de monitoreo? SI SI
¿Se monitorea el acceso autorizado (ID del usuario;

fecha y hora de los eventos claves; tipos de eventos; SI SI
archivo a los cuales se tuvo acceso; programas/utilidades
utilizados)?
¿Se monitorean todas las operaciones privilegiadas (uso
de las cuentas privilegiadas; inicio y apagado del sistema; SI SI
dispositivo I/O para adjuntar y eliminar lo adjuntado)?
¿Se monitorean los intentos de acceso no autorizado

(accesiones del usuario fallidas o rechazadas; acciones SI SI
fallidas o rechazadas que involucran la data y otros
recursos; violaciones a la política de acceso y
notificaciones para los ‘firewalls’ de la red; alertas de los
sistemas de detección de intrusiones)?
¿Se monitorean las alertas o fallas del sistema (alertas o

mensajes en la consola; excepciones del registro del SI SI
sistema; alarmas de la gestión de la red; alarmas
activadas por el sistema de control de acceso)?
¿Se monitorean los cambios o intentos de cambio en los

marcos y controles del sistema de seguridad? SI SI
¿Existe un procedimiento para actuar cuando se produce

SI SI
un fallo en el sistema?
¿Se toman medidas correctivas cuando se produce un
SI SI
fallo en el sistema?
¿Se registran las incidencias comunicadas por los
usuarios, con respecto a problemas con el procesamiento SI SI
de la información o los sistemas de comunicaciones?
85
¿Existen procedimientos para la revisión de registros de
incidencias para garantizar que las mismas fueron SI SI
resueltas satisfactoriamente?
86
Aplica
¿Existen procedimientos para la revisión de medidas

correctivas para garantizar que los controles no fueron SI SI
comprometidos, y que las medidas tomadas fueron
debidamente autorizadas?
[A.12.4.2] - Protección de la información de registro
COBERTURA CONTROL:
Aplica
¿Están protegidos los medios de registro y la información

del registro para evitar la alteración y el acceso no SI SI
autorizado?
¿Los controles tienen como objetivo proteger contra
cambios no autorizados y problemas operacionales? SI SI
¿El medio de registro incluye las alteraciones registradas

SI SI
a los tipos de mensajes?
¿El medio de registro incluye los archivos de registro que
SI SI
se editan o borran?
¿El medio de registro incluye la capacidad de
almacenamiento del medio de archivos de registro que se SI SI
está excediendo?
¿Se archivan los registros de auditoría como parte de la
política de retención de archivos o debido a los SI SI
requerimientos para recolectar y mantener evidencia?
87
[A.12.4.3] - Registros de administración y operación
COBERTURA CONTROL:
Aplica
¿Se registran las actividades del administrador del

SI SI
sistema y el operador del sistema?
¿Los registros incluyen la hora en la cual ocurre un
SI SI
evento (éxito o falla)?
¿Los registros incluyen la información sobre el evento
(por ejemplo, archivos manejados) o falla (por ejemplo, el SI SI
error ocurrido y la acción correctiva)?
¿Los registros incluyen cuál cuenta y cuál operador o

SI SI
administrador está involucrado?
¿Los registros incluyen que procesos están
SI SI
involucrados?
¿Los registros de administrador y operador del sistema
SI SI
son revisados de manera regular?
[A.12.4.4] - Sincronización del reloj
COBERTURA CONTROL:
88
Aplica
¿Se mantiene una política de unificación de la hora de los

relojes de las computadoras para garantizar la exactitud SI SI
de los registros de auditoría, que pueden requerirse para
investigaciones o como evidencia en casos legales o
disciplinarios?
¿Existe un procedimiento que verifique y corrija cualquier
variación significativa en los relojes de las SI SI
computadoras?
[A.12.5] - Control del software en explotación
[A.12.5.1] - Instalación del software en explotación
COBERTURA CONTROL:
Aplica
¿Se han designados bibliotecarios para el control de los

SI SI
programas operativos?
¿El software suministrado por el proveedor y utilizado en
los sistemas operacionales cuenta con el soporte del SI SI
mismo?
¿Cualquier decisión referida a una actualización a una
SI SI
nueva versión tiene en cuenta la seguridad?
¿Se otorga acceso lógico o físico a los proveedores con
SI SI
fines de soporte?
¿Se obtiene previamente la aprobación de la gerencia?

SI SI
¿Se mantienen activadas las auditorías cuando se da
SI SI
acceso a los proveedores?
¿La actualización de las bibliotecas de programas

SI SI
operativos es realizada por el bibliotecario?
¿Antes de realizar una actualización de las bibliotecas de
programas operativos se obtiene la debida autorización SI SI
de la gerencia?
¿Los sistemas en operación, solo contienen código
SI SI
ejecutable?
89
Aplica
¿Cuándo el código ejecutable es implementado en un

sistema operacional se han obtenido evidencias del éxito SI SI
de las pruebas?

sistema operacional se ha obtenido la aceptación el SI SI
usuario?
sistema operacional se ha actualizado previamente las SI SI
correspondientes bibliotecas de programas fuente?
¿Se mantiene un registro de auditoría de todas las

actualizaciones a las bibliotecas de programas SI SI
operativos?
¿Son retenidas las versiones previas de software como
SI SI
medida de contingencia?
[A.12.6] - Gestión de la vulnerabilidad técnica
[A.12.6.1] - Gestión de las vulnerabilidades técnicas
COBERTURA CONTROL:
Aplica
¿Se obtiene oportunamente la información sobre las

vulnerabilidades técnicas de los sistemas de información SI SI
que se están utilizando, la exposición de la organización
a dichas vulnerabilidades evaluadas, y las medidas
apropiadas tomadas para tratar los riesgos asociados?
¿Se toman las acciones apropiadas y oportunas en coordinación requerida?

respuesta a la identificación de vulnerabilidades técnicas
potenciales?
¿La organización define y establece los roles y
responsabilidades asociadas con la gestión de la
vulnerabilidad técnica; incluyendo el monitoreo de la
vulnerabilidad, evaluación del riesgo de la vulnerabilidad,
monitoreo de activos y cualquier responsabilidad de
90
SI SI
SI SI
91
Aplica
¿Están identificados los recursos de información que se

utilizarán para identificar las vulnerabilidades técnicas SI SI
relevantes y mantener la conciencia sobre ellas para el
software y otras tecnologías?
¿Está definida una línea de tiempo para reaccionar a las

notificaciones de vulnerabilidades técnicas SI SI
potencialmente relevantes?
¿Al identificar vulnerabilidades técnicas potenciales, la
organización identifica los riesgos asociados y las SI SI
acciones a tomarse?
¿En el caso de requerir parches, se evalúan los riesgos
SI SI
asociados con instalar el parche?
¿Se prueban los parches antes de instalarlos para
asegurar que sean efectivos y no resulten efectos SI SI
secundarios que no se puedan tolerar?
[A.12.6.2] - Restricción en la instalación de software
COBERTURA CONTROL:
Aplica
¿Define y hace cumplir la organización una política

estricta sobre qué tipos de software pueden instalar los SI SI
usuarios?
¿Se aplica el principio de menor privilegio a la hora de
SI SI
definir permisos de instalación?
¿Está claramente identificado qué tipos de instalaciones
SI SI
de software están permitidas?
¿Está claramente identificado qué tipos de instalaciones
SI SI
de software están prohibidas?
¿La asignación de privilegios se realiza de acuerdo con
SI SI
las funciones de los usuarios en cuestión?
92
[A.12.7] - Consideraciones sobre la auditoria de sistemas de información
[A.12.7.1] - Controles de auditoría de sistemas de información
COBERTURA CONTROL:
Aplica
¿Los requerimientos y actividades de auditoría que

involucran verificaciones de los sistemas operacionales SI SI
son planificados y acordados a fin de minimizar el riesgo
de discontinuidad de los procesos de negocio?
¿Los requerimientos de auditoría son acordados con la

SI SI
gerencia correspondiente?
¿El alcance de las verificaciones está controlado? SI SI
¿Las actividades de auditoría están limitadas a un acceso

SI SI
de sólo lectura del software de datos?
¿El acceso que no sea de sólo lectura está permitido solo
para copias aisladas de archivos del sistema? SI SI
¿Las copias aisladas realizadas en los archivos de

sistemas, son eliminadas una vez finalizada la auditoría? SI SI
¿Se identifican y acuerdan los requerimientos de

procesamiento especial o adicional, necesarios para SI SI
realizar la verificación?
¿Todos los accesos son monitoreados y registrados a fin
de generar una pista de referencia? SI SI
¿Se documentan todos los procedimientos,

SI SI
requerimientos y responsabilidades?
93
94
[A.13] - Seguridad de las comunicaciones
[A.13.1] - Gestión de la seguridad de redes
[A.13.1.1] - Controles de red
COBERTURA CONTROL:
Aplica
¿La responsabilidad operativa de las redes está

SI SI
separada de las de operaciones del computador?
¿Están establecidos los procedimientos y
responsabilidades para la administración del SI SI
equipamiento remoto, incluyendo los equipos en las
áreas usuarias?
¿Existen controles que permitan salvaguardar la
confidencialidad e integridad del procesamiento de los SI SI
datos que pasan a través de redes públicas?
¿Existen controles para mantener la disponibilidad de los
servicios de red y computadoras conectadas? SI SI
[A.13.1.2] - Seguridad de los servicios de red
COBERTURA CONTROL:
95
Aplica
¿En los contratos de redes están identificadas las

características de seguridad, niveles de servicio y SI SI
requerimientos de gestión de todos los servicios de red?
¿Se monitorea regularmente la capacidad del proveedor

del servicio de red para manejar los servicios contratados SI SI
de una manera segura?
¿Se ha acordado en el contrato el derecho de auditoría?
SI SI
¿Se han identificado los acuerdos de seguridad

necesarios para servicios particulares; como las SI SI
características de seguridad, niveles de servicio y
requerimientos de gestión?
¿La organización se ha asegurado que los proveedores
de servicio de red han implementado los controles SI SI
necesarios?
[A.13.1.3] - Segregación de las redes
COBERTURA CONTROL:
Aplica
¿Se han introducido controles en la red para segregar

grupos de servicios de información, usuarios y sistemas SI SI
de información?
¿Se ha dividido la red en dominios lógicos separados, por
ej.: dominios de red internos y externos de una SI SI
organización, cada uno protegido por un perímetro de
seguridad definido?
¿Se han instalado gateway para implementar el
SI SI
perímetro de seguridad. Ej.: firewall?
[A.13.2] - Intercambio de información
96
[A.13.2.1] - Políticas y procedimientos de intercambio de información
COBERTURA CONTROL:
Aplica
¿Se han establecido políticas, procedimientos y controles

de intercambio formales para proteger el intercambio de SI SI
información a través del uso de todos los tipos de medios
de comunicación?
¿Los procedimientos y controles a seguirse cuando se
utilizan medios de comunicación electrónicos para el SI SI
intercambio de información consideran no dejar la
información confidencial o crítica en medios impresos;
por ejemplo, copiadoras, impresoras y máquinas de fax;
ya que personal no–autorizado puede tener acceso a
ellas?
intercambio de información consideran los controles y
restricciones asociados con el reenvío de los medios de
comunicación; por ejemplo, reenvío automático de correo
electrónico a direcciones externas?

intercambio de información consideran recordar al
personal que debiera tomar las precauciones apropiadas;
por ejemplo, no revelar información confidencial cuando
realiza una llamada telefónica para evitar ser escuchado?

intercambio de información consideran no dejar mensajes
conteniendo información confidencial en máquinas
ontestadotas dado que estos pueden ser escuchados por
personas no–autorizadas, ni almacenados en sistemas
comunitarios o almacenados incorrectamente como
resultado de un equívoco al marcar?
97
Aplica

personal no registrar datos, como la dirección de correo
electrónico u otra información personal, en ningún
software para evitar que sea utilizada sin autorización?

personal que las máquinas de fax y fotocopiadoras
modernas tienen páginas cache y almacenan páginas en
caso de una falla en la transmisión o papel, las cuales se
imprimirán una vez que el fallo se aclare?

personal que no debieran mantener conversaciones
confidenciales en lugares públicos, u oficinas o salas de
reuniones abiertas, sin paredes a prueba de ruidos?
¿Los medios de intercambio de información cumplen

todos los requerimientos legales relevantes? SI SI

intercambio de información consideran los
procedimientos diseñados para proteger el intercambio
de información de la intercepción, copiado, modificación,
y destrucción?
procedimientos para la detección y protección de contra
códigos maliciosos que pueden ser transmitidos a través
del uso de comunicaciones electrónicas?

procedimientos para proteger la información electrónica
confidencial comunicada que está en la forma de un
adjunto?
intercambio de información consideran la política o
lineamientos delineando el uso aceptable de los medios
de comunicación electrónicos?
98
Aplica

procedimientos para el uso de comunicación inalámbrica,
tomando en cuenta los riesgos particulares involucrados?

intercambio de información consideran las
responsabilidades del usuario empleado, contratista y
cualquier otro para que no comprometan a la
organización; por ejemplo, a través de la difamación,
hostigamiento, suplantación, reenvío de cadenas de
cartas, compras no–autorizadas, etc.?

intercambio de información consideran el uso de técnicas
de codificación; por ejemplo, para proteger la
confidencialidad, integridad y autenticidad de la
información?
intercambio de información consideran los lineamientos
de retención y eliminación de toda la correspondencia del
negocio, incluyendo mensajes, en concordancia con la
legislación y regulaciones nacionales y locales
relevantes?
[A.13.2.2] - Acuerdos de intercambio de información
COBERTURA CONTROL:
Aplica
¿Existen acuerdos para el intercambio de información y

software (tanto electrónico como manual) entre SI SI
organizaciones?
¿El acuerdo contempla controles especiales que pueden
requerirse para proteger ítems sensibles, como las claves SI SI
criptográficas?
99
Aplica
¿El acuerdo contempla las responsabilidades gerenciales

por el control y la notificación de transmisiones, envíos y SI SI
recepciones?
¿El acuerdo contempla los procedimientos de notificación
de emisor, transmisión, envío y recepción? SI SI
¿El acuerdo contempla los estándares técnicos mínimos

SI SI
para armado de paquetes y transmisión?
¿El acuerdo contempla los estándares de identificación
SI SI
de mensajeros (“courier”)?
¿El acuerdo contempla las responsabilidades y
SI SI
obligaciones en caso de pérdida de datos?
¿El acuerdo contempla el uso de un sistema convenido
para el rotulado de información crítica o sensible, SI SI
garantizando que el significado de los rótulos sea
inmediatamente comprendido y que la información sea
adecuadamente protegida?
¿El acuerdo contempla que la información sobre la
propiedad de la información y el software, y SI SI
responsabilidades por la protección de los datos, el
cumplimiento del “derecho de propiedad intelectual” del
software y consideraciones similares?
¿El acuerdo contempla estándares técnicos para la

SI SI
grabación y lectura de la información y software?
[A.13.2.3] - Mensajería electrónica
COBERTURA CONTROL:
Aplica
¿Está protegida adecuadamente la información

SI SI
involucrada en mensajes electrónicos?
¿Las consideraciones de seguridad para los mensajes
electrónicos incluyen proteger los mensajes del acceso SI SI
no–autorizado, modificación o negación del servicio?
100
Aplica

electrónicos incluyen asegurar la correcta dirección y SI SI
transporte del mensaje?
electrónicos incluyen asegurar la confiabilidad y SI SI
disponibilidad general del servicio?
electrónicos incluyen las consideraciones legales, por SI SI
ejemplo los requerimientos para firmas electrónicas?

electrónicos incluyen obtener la aprobación antes de SI SI
utilizar los servicios públicos externos como un mensaje
instantáneo o intercambio de archivos?

electrónicos incluyen niveles mayores de autenticación SI SI
controlando el acceso de las redes de acceso público?
[A.13.2.4] - Acuerdos de confidencialidad o no revelación
COBERTURA CONTROL:
Aplica
¿Se tienen acuerdos de confidencialidad o no–

divulgación que protejan el sistema de información? SI SI
¿Los acuerdos de confidencialidad incluyen condiciones

para el retorno o destrucción de la información al finalizar SI SI
el acuerdo?
¿Los acuerdos de confidencialidad incluyen acciones que
se tomarán en caso del incumplimiento del acuerdo? SI SI
¿Los requerimientos de los acuerdos de confidencial se

SI SI
revisan periódicamente?
¿Los requerimientos de los acuerdos de confidencial se
SI SI
revisan cuando ocurren cambios?
101
Aplica
¿Los acuerdos de confidencialidad cumplen la legalidad

SI SI
vigente?
¿Los acuerdos de confidencialidad incluyen una

SI SI
definición de la información a protegerse?
¿Los acuerdos de confidencialidad incluyen la duración
SI SI
esperada del acuerdo?
¿Los acuerdos de confidencialidad incluyen las acciones
SI SI
requeridas al terminar el acuerdo?
¿Los acuerdos de confidencialidad incluyen la
responsabilidad y acciones de los firmantes para evitar la SI SI
divulgación de información no autorizada?
¿Los acuerdos de confidencialidad incluyen la propiedad

SI SI
de la información?
¿Los acuerdos de confidencialidad incluyen el uso
SI SI
permitido de la información confidencial?
¿Los acuerdos de confidencialidad incluyen un proceso
de notificación y reporte de divulgación de no autorizada SI SI
o incumplimiento del acuerdo de información
confidencial?
102
103
[A.14] - Adquisición, desarrollo y mantenimiento de los sistemas de información
[A.14.1] - Requerimientos de seguridad en sistemas de información
[A.14.1.1] - Análisis de requisitos y especificaciones de seguridad de la

información.
COBERTURA CONTROL:
Aplica
¿Al planificar la introducción de nuevos sistemas, se

realiza un estudio de los riesgos en que se incurrirá al SI SI
incorporarlo al nuevo sistema?
[A.14.1.2] - Asegurar los servicios de aplicaciones en redes públicas
COBERTURA CONTROL:
Aplica
¿Se protege la información involucrada en el comercio

electrónico que pasa a través de redes públicas de la SI SI
actividad fraudulenta, disputas de contratos, divulgación
no–autorizada y modificación?
¿Las consideraciones de seguridad para el comercio

electrónico incluyen seleccionar la forma de liquidación SI SI
más apropiada del pago para evitar el fraude?
104
Aplica

electrónico incluyen el nivel de protección requerido para SI SI
mantener la confidencialidad e integridad de la
información de la orden?

electrónico incluyen controles para evitar la pérdida o SI SI
duplicación de la información de la transacción?

electrónico incluyen la responsabilidad asociada con SI SI
cualquier transacción fraudulenta?
electrónico incluyen requerimientos de seguro? SI SI
¿Los acuerdos de comercio electrónico entre socios

están respaldados por un contrato documentado el cual SI SI
compromete a ambas partes a los términos acordados
para la comercialización, incluyendo los detalles de la
autorización?
¿Se ha tomado en consideración la resistencia al ataque
del host(s) utilizado(s) para el comercio electrónico, y las SI SI
implicancias de seguridad de cualquier interconexión de
la red requerida para la implementación de los servicios
de comercio electrónico?

electrónico incluyen el nivel de confianza que cada parte SI SI
requiere de la identidad de la otra; por ejemplo, a través
de la autenticación?
electrónico incluyen los procesos de autorización SI SI
asociados con aquellos que pueden establecer precios,
emitir o firmar documentos de comercialización?

electrónico incluyen asegurar que los socios comerciales SI SI
estén totalmente informados de sus autorizaciones?

electrónico incluyen determinar y cumplir con los SI SI
requerimientos para la confidencialidad, integridad,
prueba de despacho y recepción de documentos claves,
y el no–repudio de los contratos; por ejemplo, asociado
con procesos de licitación y contratos?
¿Las consideraciones de seguridad para el comercio electrónico incluyen el nivel de confianza requerido parala
integridad de las listas de precios publicitadas?
105
SI SI
106
Aplica

electrónico incluyen la confidencialidad de cualquier data SI SI
o información confidencial?

electrónico incluyen la confidencialidad e integridad de SI SI
cualquier transacción, información de pago, detalles de la
dirección de entrega y la confirmación de la recepción?

electrónico incluyen el grado de verificación apropiado SI SI
para chequear la información de pago suministrada por
un cliente?
¿Se protege la integridad de la información puesta a
disposición en un sistema públicamente disponible para SI SI
evitar una modificación no–autorizada?
¿Se prueban los sistemas públicamente disponibles en

busca de debilidades y fallas antes que la información SI SI
esté disponible?
¿Existe un proceso de aprobación formal antes que la
información sea puesta a disposición pública? SI SI
¿Se verifica y aprueba todo el input provisto desde fuera

SI SI
del sistema?
¿Se controlan los sistemas de publicación electrónica,
especialmente aquellos que permiten retroalimentación y SI SI
el ingreso directo de información?
¿Los sistemas de publicación electrónica controlan que la

información se obtenga cumpliendo con la legislación de SI SI
protección de data?
¿Los sistemas de publicación electrónica controlan que el
input de información para el sistema de publicación será SI SI
procesado completa y exactamente de una manera
oportuna?
¿Los sistemas de publicación electrónica controlan que
se protegerá la información confidencial durante la SI SI
recolección, procesamiento y almacenaje?
¿Los sistemas de publicación electrónica controlan que el

acceso al sistema de publicación no permite el acceso SI SI
involuntario a las redes con las cuales se conecta el
sistema?
107
[A.14.1.3] - Protección de las transacciones de servicios de aplicaciones
COBERTURA CONTROL:
Aplica
¿Está protegida la información involucrada en las

transacciones en–línea para evitar una transmisión SI SI
incompleta, routing equivocado, alteración no–autorizada
del mensaje, divulgación no–autorizada, duplicación o
repetición no–autorizada del mensaje?
¿Las consideraciones de seguridad para las

transacciones en–línea debieran incluyen el uso de SI SI
firmas electrónicas por cada una de las partes
involucradas en la transacción?
transacciones en–línea debieran incluyen los aspectos de SI SI
la transacción?
transacciones en–línea debieran incluyen que el camino SI SI
de las comunicaciones entre las partes involucradas
debiera ser codificado?
transacciones en–línea debieran incluyen que los SI SI
protocolos utilizados para comunicarse entre todas las
partes involucradas sean seguros?
transacciones en–línea debieran incluyen asegurar que el SI SI
almacenaje de los detalle de la transacción se localice
fuera de cualquier ambiente público accesible?

transacciones en–línea debieran incluyen que cuando se SI SI
utilice una autoridad confiables (por ejemplo, para
propósitos de emitir y mantener firmas digitales y/o
certificados digitales) la seguridad es integrada e
introducida durante todo el proceso de gestión de
firma/certificado de principio a fin?
108
[A.14.2] - Seguridad en el desarrollo y en los procesos de soporte
[A.14.2.1] - Política de desarrollo seguro
COBERTURA CONTROL:
Aplica
¿Existen criterios de seguridad en el entorno de

SI SI
desarrollo?
¿Tiene en cuenta criterios de seguridad la metodología
SI SI
de desarrollo de software utilizada?
¿Existen guías de desarrollo seguro para cada lenguaje
SI SI
de programación utilizado?
¿Se definen requisitos de seguridad en la fase de diseño
SI SI
del producto software?
¿Existen puntos de verificación de seguridad
SI SI
incorporados a los hitos del proyecto?
¿Se trabaja con repositorios seguros? SI SI
¿Es seguro el sistema de control de versiones? SI SI
¿El equipo de desarrollo tiene el conocimiento necesario

SI SI
sobre seguridad de aplicaciones?
¿Tiene los desarrolladores capacidad para evitar,
SI SI
encontrar y reparar vulnerabilidades
¿Se utilizan técnicas de programación segura tanto para
los nuevos desarrollos, como en las situaciones de SI SI
reutilización de código, donde las normas aplicadas al
desarrollo pudieron no ser conocidas o no estaban en
consonancia con las mejores prácticas actuales?
¿Existe una normativa de programación segura, así como

las indicaciones correspondientes para su uso? SI SI
¿Existe formación periódica para los desarrolladores en

materia de programación segura? SI SI
109
Aplica
¿Se verifica durante las pruebas y la revisión de código

que se ha aplicado la normativa de programación SI SI
segura?
[A.14.2.2] - Procedimiento de control de cambios en sistemas
COBERTURA CONTROL:
Aplica
¿Existe un procedimiento formal de control de cambios

SI SI
para los aplicativos?
¿Se garantiza que la implementación se lleve a cabo
minimizando la discontinuidad de las actividades de la SI SI
empresa?
¿Se garantiza que la documentación del sistema será
actualizada cada vez que se completa un cambio y se SI SI
1archiva o elimina la d1ocumentación vieja?
¿S1e mantiene un control de versiones para todas las

SI SI
actualizaciones de software?
¿Se mantiene una pista de auditoría de todas las

SI SI
solicitudes de cambios?
¿Se garantiza que la documentación operativa y los
procedimientos de usuarios se modifiquen según las SI SI
necesidades de adecuación?
¿Se garantiza que la implementación de cambios tenga
lugar en el momento adecuado y no altere los procesos SI SI
comerciales involucrados?
¿Se encuentra separados los ambientes de test del de
SI SI
producción y desarrollo?
¿Los programadores de soporte tienen acceso a aquellas

partes del sistema necesarias para el desempeño de sus SI SI
tareas?
110
Aplica
¿Se obtiene un acuerdo y aprobación formal para

SI SI
cualquier cambio?
¿Se mantiene un registro de los niveles de autorización

SI SI
acordados?
¿Está garantizado que los cambios son propuestos por
SI SI
usuarios autorizados?
¿Se revisa los controles y los procedimientos de
integridad para garantizar que no serán comprometidos SI SI
por los cambios?
¿Se identifica y cataloga todo el software, la información,
las entidades de bases de datos y el hardware que SI SI
requieran correcciones?
¿Se obtiene aprobación formal para las propuestas
SI SI
detalladas antes de que comiencen las tareas?
¿Se garantiza que el usuario autorizado acepte los
cambios antes de cualquier implementación, y se deja SI SI
constancia escrita?
[A.14.2.3] - Revisión técnica de las aplicaciones tras efectuar cambios en el

sistema operativo
COBERTURA CONTROL:
Aplica
¿Se realiza una revisión de procedimientos de integridad

y control de aplicaciones para garantizar que estos no SI SI
hayan sido comprometidos por los cambios del sistema
operativo?
¿Se garantiza que el plan y presupuesto de soporte anual

contemple las revisiones y las pruebas del sistema que SI SI
deban realizarse como consecuencia del cambio en el
sistema operativo?
¿Se garantiza que se notifiquen los cambios del sistema
operativo de manera oportuna antes de la SI SI
implementación?
¿Se garantiza que se realicen los cambios apropiados en
los planes de continuidad de la empresa? SI SI
111
[A.14.2.4] - Restricciones a los cambios en los paquetes de software
COBERTURA CONTROL:
Aplica
¿Se realizan modificaciones en los paquetes de software

SI SI
utilizados por terceros?
¿Al realizarlas, se tiene en cuenta el riesgo de
compromiso de los procesos de integridad y controles SI SI
incorporados?
¿Se tiene en cuenta, si se debe obtener el
SI SI
consentimiento del proveedor?
¿Se ha analiza la posibilidad de obtener del proveedor
los cambios requeridos como actualizaciones estándar de SI SI
programas?
¿Se estudia el impacto que se produciría si la
organización se hace responsable del mantenimiento SI SI
futuro del software como resultado de los cambios?
¿Si se realizan cambios, se mantiene un control de los

SI SI
mismos?
¿Se documentan los cambios? SI SI
¿Se realizan pruebas para validar los cambios? SI SI
112
[A.14.2.5] - Principios de ingeniería de sistemas seguros
COBERTURA CONTROL:
Aplica
¿Se establecen y documentan procedimientos de

ingeniería de sistemas de información seguros SI SI
basándose en los principios de ingeniería de seguridad?
¿Se aplican procedimientos de ingeniería de sistemas de

información seguros a las actividades de ingeniería de SI SI
sistemas de información internos?
¿Se diseña la seguridad en todas las capas de la
arquitectura (de negocio, datos, aplicaciones y SI SI
tecnología)?
¿Se analizan los riesgos de seguridad de las nuevas
SI SI
tecnologías?
¿Se revisa el diseño de la arquitectura contra los
SI SI
patrones de ataque conocidos?
¿Se revisan periódicamente los principios y los
SI SI
procedimientos de ingeniería establecidos?
¿Se actualizan los principios y los procedimientos de
ingeniería establecidos en cuanto a la lucha contra las SI SI
nuevas amenazas potenciales y los avances en las
tecnologías y soluciones a las que se aplican?
113
[A.14.2.6] - Entorno de desarrollo seguro
COBERTURA CONTROL:
Aplica
¿Se evalúan los riesgos asociados con los proyectos de

SI SI
desarrollo?
¿Se tiene en cuenta la sensibilidad de los datos a ser
procesados, almacenados y transmitidos por el sistema? SI SI
¿Se tienen en cuenta los requisitos externos e internos

aplicables, por ejemplo, de reglamentos o políticas? SI SI
¿Se tienen en cuenta los controles de seguridad ya

implementados por la organización que apoyen el SI SI
desarrollo del sistema?
¿Se tiene en cuenta la honradez del personal que trabaja
SI SI
en el entorno?
¿Se tiene en cuenta el grado de contratación externa
SI SI
asociada con el desarrollo del sistema?
¿Existe segregación entre los diferentes entornos de
SI SI
desarrollo?
¿Existe control de accesos al entorno de desarrollo?

SI SI
¿Se realiza monitorización de los cambios en el entorno y

SI SI
el código almacenado en el mismo?
¿Se realiza almacenamiento seguro de las copias de
SI SI
respaldo fuera de las instalaciones?
¿Existe control del movimiento de datos desde y hacia el
SI SI
entorno de desarrollo?
114
[A.14.2.7] - Externalización del desarrollo de software
COBERTURA CONTROL:
Aplica
¿Existen acuerdos de licencia, propiedad de códigos y

derechos de propiedad intelectual para el desarrollo de SI SI
Sw con terceros?
¿Existen métricas que permitan certificar la calidad y
precisión del trabajo llevado a cabo por terceros respecto SI SI
al desarrollo de Sw?
¿Existen acuerdos de custodia de terceros en caso de
SI SI
quiebra de terceras partes?
¿Está permitido realizar una auditoría de calidad y
SI SI
precisión del trabajo realizado?
¿Están definidos los requerimientos contractuales con
SI SI
respecto a la calidad del código?
¿Están definidas y documentadas la realización de
pruebas previas a la instalación para detectar códigos SI SI
troyanos?
[A.14.2.8] - Pruebas funcionales de seguridad de sistemas
COBERTURA CONTROL:
115
Aplica
¿Se realizan pruebas y verificaciones exhaustivas en los

SI SI
procesos de desarrollo?
¿Se cuenta con un programa detallado de actividades y
SI SI
datos de prueba?
¿Se especifican los resultados esperados bajo las
SI SI
condiciones establecidas?
¿Se realizan las pruebas inicialmente por el equipo de
SI SI
desarrollo?
¿Se realizan pruebas de aceptación independientes
(tanto en los desarrollos internos como para los SI SI
desarrollos externalizados) para asegurar que el sistema
funciona como se esperaba y sólo como se esperaba?
¿La extensión de las pruebas es proporcional a la

SI SI
importancia y la naturaleza del sistema?
[A.14.2.9] - Pruebas de aceptación de sistemas.
COBERTURA CONTROL:
Aplica
¿Existen disposiciones relativas a la continuidad de los

SI SI
negocios?
¿Existen evidencias que la instalación del nuevo sistema
no afectará negativamente los sistemas existentes, SI SI
especialmente en los períodos pico de procesamiento,
como durante los últimos días del mes?
¿Existen evidencias de que se ha tenido en cuenta el

efecto que tiene el nuevo sistema en la seguridad 1global SI SI
de la organización?
¿Se han considerado el entrenamiento en el entorno de
SI SI
producción o uso de nuevos sistemas?
¿Se realizan pruebas para analizar el desempeño y
116
requerimientos de capacidad de las computadoras? SI SI
117
Aplica
¿Existen procedimientos para recuperación ante errores

y procedimientos de reinicio, y planes de contingencia? SI SI
¿Existen procedimiento para la preparación y prueba de

procedimientos operativos de rutina según estándares SI SI
definido?
¿Están definidos e implementados un conjunto de
SI SI
controles de seguridad?
[A.14.3] - Datos de prueba
[A.14.3.1] - Protección de los datos de prueba
COBERTURA CONTROL:
Aplica
¿Se evitar el uso de datos de pruebas procedentes de

bases de datos operativas que contengan información SI SI
personal?
¿Los datos que se pasan de producción a pruebas son
alterados para mantener la confidencialidad de los SI SI
mismos?
¿Los procedimientos de control de accesos, que se
aplican a los sistemas de aplicación en operación, se SI SI
aplican a los sistemas de aplicación de prueba?
¿Se lleva a cabo una autorización por separado cada vez
que se copia información operativa a un sistema de SI SI
aplicación de pruebas?
¿Se borra la información operativa de un sistema de
aplicación de prueba inmediatamente después de SI SI
completada la misma?
¿La copia y el uso de información operacional para datos
de prueba son registrados a fin de suministrar una pista SI SI
de auditoría?
118
119
[A.15] - Relación con proveedores
[A.15.1] - Seguridad en las relaciones con proveedores
[A.15.1.1] - Política de seguridad de la información en las relaciones con los

proveedores
COBERTURA CONTROL:
Aplica
¿Se han identificado los tipos de proveedores (servicios

de TI,, logística, financieros o de infraestructura de TI), a SI SI
los cuales la organización permitirá acceder a su
información?
¿Existen procedimientos para supervisar el cumplimiento
de los requisitos de seguridad de la información para SI SI
cada proveedor o tipo de proveedor?
[A.15.1.2] - Requisitos de seguridad en contratos con terceros
COBERTURA CONTROL:
Aplica
¿Están identificados y controlados los riesgos por el

SI SI
acceso de terceros?
120
Aplica
¿Existen procedimientos para determinar los pasos a

realizar con aquellos terceros que son ubicados dentro de SI SI
la empresa por un período de tiempo determinado?
¿Se especifica en el contrato con terceros, los

requerimientos de seguridad de los terceros que tienen SI SI
acceso a documentación clasificada como confidencial
por la empresa?
[A.15.1.3] - Cadena de suministro de tecnología de la información y de las

comunicaciones
COBERTURA CONTROL:
Aplica
¿Hay definidos requisitos de seguridad de información

para aplicar a la compra de productos o servicios de SI SI
tecnología?
¿Se requiere que los proveedores reproduzcan los
requisitos de seguridad de la organización a lo largo de SI SI
su cadena de suminstro?
[A.15.2] - Gestión de la provisión de servicios del proveedor
[A.15.2.1] - Control y revisión de la provisión de servicios del proveedor
COBERTURA CONTROL:
121
Aplica
¿Los servicios, reportes y registros provistos por terceros

son monitoreados y revisados regularmente? SI SI
¿Se resuelven los problemas identificados? SI SI
¿La responsabilidad de manejar la relación con terceros

está asignada a una persona o equipo de gestión de SI SI
servicios?
¿Los terceros han asignado la responsabilidad para el
chequeo del cumplimiento de los requerimientos de los SI SI
acuerdos?
¿Se han facilitado por parte de la organización las
capacidades y recursos técnicos para monitorear los SI SI
requerimientos del acuerdo, en particular si se cumplen
los requerimientos de seguridad de la información?
¿Se toman las acciones apropiadas cuando se observan

SI SI
deficiencias en la entrega del servicio?
¿La organización mantiene el control y la visibilidad
suficiente en todos los aspectos de seguridad con SI SI
relación a la información confidencial o crítica o los
medios de procesamiento de la información que la
tercera persona ingresa, procesa o maneja?
¿La organización mantiene la visibilidad en las

actividades de seguridad como la gestión del cambio, SI SI
identificación de vulnerabilidades y reporte/respuesta de
un incidente de seguridad a través de un proceso,
formato y estructura de reporte definidos?
¿Se establecen auditorías periódicas sobre los servicios,

reportes y registros provistos por terceros? SI SI
¿El monitoreo y revisión de los servicios de terceros

garantiza que se cumplan los términos y condiciones de SI SI
seguridad de los acuerdos?
¿El monitoreo y revisión de los servicios de terceros
garantiza que se manejen apropiadamente los incidentes SI SI
y problemas de seguridad de la información?
¿Se monitorean los niveles de desempeño del servicio

para chequear adherencia con los acuerdos? SI SI
¿Se revisan los reportes de servicio producidos por

SI SI
terceros?
¿Se realizan reuniones de avance regulares conforme lo
SI SI
requieran los acuerdos?
122
Aplica
¿Se proporciona información sobre incidentes de

seguridad de la información y la revisión de esta SI SI
información por terceros y la organización conforme lo
requieren los acuerdos y cualquier lineamiento y
procedimiento de soporte?
¿Se revisan los registros de auditoría de terceros y los
registros de eventos de seguridad, problemas SI SI
operacionales, fallas, el monitoreo de fallas e
interrupciones relacionadas con el servicio entregado?
[A.15.2.2] - Gestión de cambios en la provisión del servicio del proveedor
COBERTURA CONTROL:
Aplica
¿Se manejan los cambios en la provisión de servicios,

incluyendo el mantenimiento y mejoramiento de las SI SI
políticas, procedimientos y controles de seguridad de la
información existentes teniendo en cuenta el grado crítico
de los sistemas y procesos del negocio involucrados y la
re–evaluación de los riesgos?
¿Al manejar los cambios en el servicio de terceros se para mejorar la seguridad?

toma en cuenta los cambios realizados por la
organización para implementar el aumento de los
servicios ofrecidos actualmente?
¿Al manejar los cambios en el servicio de terceros se
organización para implementar el desarrollo de cualquier
aplicación y sistema nuevo?
organización para implementar las modificaciones o
actualizaciones de las políticas y procedimientos de la
organización?
organización para implementar los controles nuevos para
solucionar incidentes de la seguridad de la información y
123
SI SI
SI SI
SI SI
SI SI
124
125
[A.16] - Gestión de incidentes de seguridad de la información
[A.16.1] - Gestión de incidentes de seguridad de la información y mejoras
[A.16.1.1] - Responsabilidades y procedimientos
COBERTURA CONTROL:
Aplica
¿Están establecidos las responsabilidades y los

procedimientos de la gerencia para asegurar una SI SI
respuesta rápida, efectiva y metódica ante los incidentes
de la seguridad de la información?
¿Los procedimientos aseguran que la integridad de los
sistemas y controles comerciales sea confirmada con una SI SI
demora mínima?
¿Se ha acordado con la gerencia los objetivos para la
gestión de incidentes en la seguridad de la información? SI SI
¿Los responsables de la gestión de incidentes en la

seguridad de la información entienden las prioridades de SI SI
la organización para el manejo de los incidentes en la
¿Se utiliza el monitoreo del sistema, alertas y
vulnerabilidades para detectar los incidentes en la SI SI
¿Se han establecido procedimientos para manejar los
diferentes tipos de incidentes en la seguridad de la SI SI
información, incluyendo: fallas del sistema de información
y pérdida del servicio; código malicioso; negación del
servicio; errores resultantes de data comercial incompleta
o inexacta; violaciones de la confidencialidad e
integridad; mal uso de los sistemas de información?
126
Aplica
¿Los procedimientos también cubren: el análisis e

identificación de la causa del incidente; contención; SI SI
planeación e implementación de la acción correctiva para
evitar la recurrencia; comunicaciones con aquellos
afectados por o involucrados con la recuperación de un
incidente; reportar la acción a la autoridad apropiada?
¿Se recolectan y aseguran rastros de auditoría y

SI SI
evidencia similar, conforme sea apropiado?
¿Se controlan formalmente las acciones para la
recuperación de las violaciones de la seguridad y para SI SI
corregir las fallas en el sistema?
¿Los procedimientos aseguran que sólo el personal
claramente identificado y autorizado tenga acceso a los SI SI
sistemas vivos y los datos?
¿Los procedimientos aseguran que se documenten en
detalle todas las acciones de emergencia realizadas? SI SI
¿Los procedimientos aseguran que la acción de

emergencia sea reportada a la gerencia y revisada de SI SI
una manera adecuada?
[A.16.1.2] - Notificación de los eventos de seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Existe un procedimiento formal de comunicación, que

establece las acciones que han de emprenderse al recibir SI SI
un informe sobre incidentes?
¿Existe un procedimiento formal de respuesta a

incidentes, que establezca la acción que ha de SI SI
emprenderse al recibir un informe sobre incidentes?
127
[A.16.1.3] - Notificación de puntos débiles de la seguridad
COBERTURA CONTROL:
Aplica
¿Los empleados y contratistas están al corriente del

procedimiento de comunicación de incidentes de SI SI
seguridad?
¿Se utilizan los incidentes como herramientas para crear
SI SI
una adecuada concienciación en el personal?
¿Se comunica la resolución de la incidencia a la persona
SI SI
que la ha notificado?
¿Los usuarios de servicios de información advierten,
registran y comunican las debilidades o amenazas SI SI
supuestas u observadas en materia de seguridad, con
relación a los sistemas o servicios?
¿Se ha informado a los usuarios que ellos no deben, bajo
ninguna circunstancia, intentar probar una supuesta SI SI
debilidad, ya que puede ser interpretado como un
potencial mal uso del sistema?
[A.16.1.4] - Evaluación y decisión sobre los eventos de seguridad de

información.
COBERTURA CONTROL:
128
Aplica
¿Se evalúan los incidentes de seguridad? SI SI
¿Se clasifican y priorizan los incidentes de seguridad

conforme a una escala de clasificación y de prioridad? SI SI
[A.16.1.5] - Respuesta a incidentes de seguridad de la información
COBERTURA CONTROL:
Aplica
¿Se comunican los incidentes de seguridad para su

respuesta a un punto de contacto preestablecido de la SI SI
organización?
¿Tras un incidente de seguridad se recogen evidencias?
SI SI
¿Tras un incidente de seguridad se realiza un análisis

SI SI
forense de la información?
[A.16.1.6] - Aprendizaje de los incidentes de seguridad de la información.
COBERTURA CONTROL:
129
Aplica
¿Se utiliza esta información para identificar incidentes o

anomalías recurrentes o de alto impacto? SI SI
¿Existen mecanismos que permitan cuantificar y

monitorear los tipos, volúmenes y costos de los SI SI
incidentes y anomalías?
[A.16.1.7] - Recopilación de evidencias
COBERTURA CONTROL:
Aplica
¿Las evidencias recogidas con el objetivo de respaldar

una acción contra una persona u organización, están SI SI
descritas en los procedimientos internos?
¿En el caso de que la acción a emprender implique la

aplicación de ley, son recogidas las evidencias teniendo SI SI
en cuenta estas?
¿Se tiene en cuenta la validez de la evidencia: si puede o
SI SI
no utilizarse en el tribunal?
¿Se tiene en cuenta el peso de la evidencia: la calidad y
SI SI
totalidad de la misma?
¿Existe adecuada evidencia de que los controles han

funcionado en forma correcta y consistente (por ej. SI SI
evidencia de control de procesos) durante todo el período
en que la evidencia a recuperar fue almacenada y
procesada por el sistema?
¿Los sistemas de información cumplen con los
estándares o códigos de práctica relativos a la SI SI
producción de evidencia válida?
Para documentos en papel: ¿El original se almacena en
Para SI SI
formadocumentos
segura? en papel: ¿Se mantienen registros
SI SI
acerca de quién lo genero?
130
Para documentos en papel: ¿Se mantienen registros
SI SI
acerca de dónde se genero?
131
Aplica
Para documentos en papel: ¿Se mantienen registros

SI SI
acerca de cuándo se genero?
Para documentos en papel: ¿Se mantienen registros de

SI SI
quién presenció el hallazgo?
Para información en medios informáticos: ¿Se hacen
copias de los medios removibles y de la información en SI SI
discos rígidos o en memoria para garantizar su
disponibilidad?
Para información en medios informáticos: ¿Se mantiene
un registro de todas las acciones realizadas durante el SI SI
proceso de copia?
Para información en medios informáticos: ¿Se almacena
en forma segura una copia de los medios y del registro? SI SI
¿Cuándo se realiza una acción de este tipo, se involucra

SI SI
a la policía, o a personal experto?
132
133
[A.17] - Aspectos de seguridad de la información para la gestión de la continuidad del

negocio
[A.17.1] - Continuidad de la seguridad de la información
[A.17.1.1] - Planificación de la continuidad de la seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Se han identificado los eventos que pueden ocasionar

interrupciones en los procesos de negocios, por ej. Fallas SI SI
en el equipamiento, inundación e incendio?
¿Se han evaluado los riesgos para determinar el impacto

de dichas interrupciones (tanto en términos de magnitud SI SI
de daño como del período de recuperación)?
¿Han participado en la definición de los puntos

anteriores, los propietarios de los procesos y recursos de SI SI
negocio?
¿Se ha desarrollado un plan estratégico para determinar
el enfoque global con el que se abordará la continuidad SI SI
de los negocios?
¿El plan de continuidad del negocio, ha sido aprobado
SI SI
por la gerencia?
[A.17.1.2] - Implementar la continuidad de la seguridad de la información.
COBERTURA CONTROL:
134
135
Aplica
¿Esta implementado un proceso controlado para el

desarrollo y mantenimiento de la continuidad de los SI SI
negocios en toda la organización?
¿El proceso incluye la comprensión de los riesgos que
enfrenta la organización en términos de probabilidad de SI SI
ocurrencia e impacto, incluyendo la identificación y
priorización de los procesos críticos de los negocios?
¿El proceso incluye la comprensión del impacto que una

SI SI
interrupción puede tener en los negocios?
¿El proceso incluye la definición de los objetivos
comerciales de las herramientas de procesamiento de SI SI
información?
¿El plan considera la contratación de seguros que
podrían formar parte del proceso de continuidad del SI SI
negocio?
¿El plan incluye la elaboración y documentación de una
estrategia de continuidad de los negocios consecuente SI SI
con los objetivos y prioridades de los negocios
acordados?
¿El plan incluye elaboración y documentación de planes
de continuidad del negocio de conformidad con la SI SI
estrategia de continuidad acordada?
¿El plan incluye pruebas y actualización periódicas de los
SI SI
planes y procesos implementados?
¿La responsabilidad por la coordinación del proceso de
administración de la continuidad esta asignada a un nivel SI SI
jerárquico adecuado dentro de la organización, por Ej: al
comité de seguridad de la información?
¿Existen planes para mantener o restablecer las

operaciones de los negocios en los plazos requeridos SI SI
una vez ocurrida una interrupción en los procesos críticos
de los negocios?
¿Se ha obtenido una identificación y acuerdo con
respecto a todas las responsabilidades y procedimientos SI SI
de emergencia?
¿Se han implementación procedimientos de emergencia
para permitir la recuperación y restablecimiento en los SI SI
plazos requeridos?
¿Se han evaluado a la hora de desarrollar el plan, las
dependencias de negocios externos y a los contratos SI SI
vigentes?
¿Se ha incluido la documentación de los procedimientos
SI SI
y procesos acordados?
¿Contiene las instrucciones adecuadas del personal en
materia de procedimientos y procesos de emergencia SI SI
acordados, incluyendo el manejo de crisis?
136
Aplica
¿Se realizan pruebas y actualización de los planes? SI SI
¿En el plan de continuidad se han considerado los

servicios y recursos que permitirán la continuidad del SI SI
negocio en un plazo aceptable?
¿En el plan de continuidad se han considerado los
acuerdos para reanudación de emergencia (“fallback”) en SI SI
sitios alternativos de procesamiento de la información?
¿Se especifican claramente las condiciones de puesta en

SI SI
marcha del plan de continuidad?
¿Se especifican las personas responsables de ejecutar
SI SI
cada componente del plan?
¿Cuándo se identifican nuevos requerimientos, se
modifican los procedimientos de emergencia SI SI
establecidos, por ej.: los planes de evacuación o los
recursos de emergencia (“fallback”) existentes?
¿Se tienen en cuenta las condiciones de implementación

de los planes que describan el proceso a seguir (cómo SI SI
evaluar la situación, qué personas estarán involucradas,
etc.) antes de poner en marcha los mismos?
¿Se tienen definidos procedimientos de emergencia que

describan las acciones a emprender una vez ocurrido un SI SI
incidente que ponga en peligro las operaciones de la
empresa y/o la vida humana?
¿En los procedimientos de emergencia, se incluyen

disposiciones con respecto a la gestión de las relaciones SI SI
públicas y a vínculos eficaces a establecer con las
autoridades públicas pertinentes, por ej. Policía,
bomberos y autoridades locales?
¿El plan incluye procedimientos de emergencia

(“fallback”) que describan las acciones a emprender para SI SI
el traslado de actividades esenciales de la empresa o de
servicios de soporte a ubicaciones transitorias
alternativas, y para el restablecimiento de los procesos
de negocio en los plazos requeridos?
¿El plan incluye procedimientos de recuperación que

describan las acciones a emprender para restablecer las SI SI
operaciones normales de la empresa?
¿El plan incluye un cronograma de mantenimiento que

especifique cómo y cuándo será probado el plan, y el SI SI
proceso para el mantenimiento del mismo?
137
Aplica
¿El plan incluye actividades de concienciación e

instrucción que estén diseñadas para propiciar la SI SI
comprensión de los procesos de continuidad del negocio
y garantizar que los procesos sigan siendo eficaces?
¿El plan incluye las responsabilidades de las personas,

describiendo los responsables de la ejecución de cada SI SI
uno de los componentes del plan?
¿El plan de continuidad tiene asignado propietario?

SI SI
¿Los procedimientos de emergencia, los planes de

reanudación (“fallback”) y los planes de recuperación se SI SI
cuentan entre las responsabilidades de los propietarios
de los recursos o procesos de negocio pertinentes?
¿Las disposiciones de emergencia para servicios

técnicos alternativos (instalaciones de comunicaciones o SI SI
de procesamiento de información), están definidas entre
las responsabilidades de los proveedores de servicios?
[A.17.1.3] - Verificación, revisión y evaluación de la continuidad de la

seguridad de la información.
COBERTURA CONTROL:
Aplica
¿Se realizan pruebas periódicas de los planes de

continuidad para garantizar que están actualizados y son SI SI
eficaces?
¿Se verifica en la realización de dichas pruebas que el
equipo de recuperación y demás personal relevante SI SI
estén al corriente de los planes?
¿Existen cronogramas de pruebas para los planes de
continuidad del negocio que indiquen cómo y cuándo SI SI
debe probarse cada elemento del plan?
138
Aplica
¿Se realizan pruebas de discusión de diversos

escenarios (discutiendo medidas para la recuperación del SI SI
negocio utilizando ejemplo de interrupciones)?
¿Se realizan simulaciones (especialmente para entrenar

al personal en el desempeño de sus roles de gestión SI SI
posterior a incidentes o crisis)?
¿Se realizan pruebas de recuperación técnica
(garantizando que los sistemas de información puedan SI SI
ser restablecidos con eficacia)?
¿Se realizan pruebas de recuperación en un sitio
alternativo (ejecutando procesos de negocio en paralelo, SI SI
con operaciones de recuperación fuera del sitio
principal)?
¿Se realizan pruebas de instalaciones y servicios de
proveedores (garantizando que los productos y servicios SI SI
de proveedores externos cumplan con el compromiso
contraído)?
¿Se realizan ensayos completos (probando que la
organización, el personal, el equipamiento, las SI SI
instalaciones y los procesos pueden afrontar las
interrupciones)?
¿El plan de continuidad de negocio tiene definido una
revisión y actualización periódica que garantice su SI SI
eficacia permanente?
¿Están asignadas las responsabilidades para las
revisiones periódicas de cada uno de los planes de SI SI
continuidad del negocio?
¿Existe un proceso formal de control de cambios que
imponga el cumplimiento de los mismos mediante SI SI
revisiones periódicas de todos los planes?
¿Se actualizan los planes cuando se va a realizar

SI SI
adquisición de nuevo equipamiento?
¿Se actualizan los planes cuando se va a realizar la
actualización (“upgrading”) de los sistemas SI SI
operacionales?
¿Se actualizan los planes cuando se van a realizar
SI SI
cambios de direcciones o números telefónicos?
SI SI
cambios en la estrategia de los negocios?
SI SI
cambios en la ubicación, instalaciones y recursos?
¿Se actualizan los planes cuando se realizan cambios en
SI SI
la legislación?
¿Se actualizan los planes cuando se realizan cambios de
contratistas, proveedores y clientes clave? SI SI
139
Aplica
¿Se actualizan los planes cuando se realizan cambios en

los procesos, o procesos nuevos/eliminados? SI SI
¿Se actualizan los planes cuando se realizan cambios

que afecten a los riesgos (operacionales y financieros)? SI SI
[A.17.2] - Redundancias
[A.17.2.1] - Disponibilidad de los recursos de tratamiento de la información.
COBERTURA CONTROL:
Aplica
¿Se han identificado los requisitos de disponibilidad para

SI SI
los sistemas de información?
¿Existen componentes o arquitecturas redundantes para
sistemas con requsiitos altos de disponibilidad? SI SI
140
141
[A.18] - Cumplimiento
[A.18.1] - Cumplimiento de los requisitos legales y contractuales
[A.18.1.1] - Identificación de la legislación aplicable y de los requisitos

contractuales.
COBERTURA CONTROL:
Aplica
¿Están definidos y documentados todos los requisitos

legales, normativos y contractuales pertinentes para cada SI SI
sistema de información?
¿Están definidos y documentados los controles
específicos y las responsabilidades individuales para SI SI
cumplir con dichos requisitos?
[A.18.1.2] - Derechos de propiedad intelectual (DPI)
COBERTURA CONTROL:
Aplica
¿Existe un mantenimiento de pruebas y evidencias de

propiedad de licencias, discos maestros, manuales, etc.? SI SI
¿Existe una implementación de controles para garantizar

que no se exceda el número máximo permitido de SI SI
usuarios?
142
Aplica
¿Existen comprobaciones para verificar que sólo se

instalan productos con licencia y software autorizado? SI SI
¿Existen una política para el mantenimiento de

condiciones adecuadas con respecto a las licencias? SI SI
¿Existe una política con respecto a la eliminación o

SI SI
transferencia de software a terceros?
¿Se utilizan herramientas de auditoría adecuadas? SI SI
¿Se cumplen los términos y condiciones con respecto a

la obtención de software e información en redes SI SI
públicas?
¿Existen procedimientos que permitan garantizar el
cumplimiento de las restricciones legales al uso del SI SI
material respecto del cual puedan existir derechos de
propiedad intelectual, derechos de diseño o marcas
registradas?
¿Los requisitos legales, normativos y contractuales
imponen restricciones a la copia de material que SI SI
constituya propiedad de una empresa?
¿Existe publicación de una política de cumplimiento del
derecho de propiedad intelectual de Sw que defina el uso SI SI
legal de productos de información y de Sw?
¿Se utiliza emisión de estándares para los

procedimientos de adquisición de productos de software? SI SI
¿Existe una política de mantenimiento de la

concienciación respecto de las políticas de adquisición y SI SI
derecho de propiedad intelectual de software?
¿Existe una notificación de la determinación de tomar

acciones disciplinarias contra el personal que incurra en SI SI
el incumplimiento de las mismas?
¿Existe un mantenimiento adecuados de registros de
SI SI
activos?
143
[A.18.1.3] - Protección de los registros de la organización.
COBERTURA CONTROL:
Aplica
¿Existe un cronograma de retención identificando los

tipos esenciales de registros y el período durante el cual SI SI
deben ser retenidos?
¿Están los registros importantes de la organización
protegidos contra pérdida, destrucción y falsificación? SI SI
¿Los registros que por motivos legales o normativos,

deban conservarse se encuentran protegidos? SI SI
¿Se encuentran los registros clasificados en diferentes

tipos, por ej. Registros contables, registros de base de SI SI
datos, “logs” de transacciones, “logs” de auditoría y
procedimientos operativos?
¿Se detalla el periodo de retención y el tipo de medios de

almacenamiento, por ej. Papel, microfichas, medios SI SI
magnéticos u ópticos?
¿Están almacenadas de forma segura, las claves
criptográficas asociadas con archivos cifrados o firmas SI SI
digitales?
¿Están disponibles las claves criptográficas asociadas
con archivos cifrados o firmas digitales para su uso por SI SI
parte de personas autorizadas?
¿Se han analizado la degradación de los medios
utilizados para el almacenamiento de los registros? SI SI
¿Se han analizado, los procedimientos de

almacenamiento y manipulación que deben SI SI
implementarse de acuerdo con las recomendaciones del
fabricante?
144
Aplica
¿En el caso de los medios de almacenamiento

electrónicos, se han incluido procedimientos para SI SI
garantizar la capacidad de acceso a los datos (tanto
legibilidad de formato como medios) durante todo el
período de retención, a fin de salvaguardar los mismos
contra eventuales pérdidas ocasionadas por futuros
cambios tecnológicos?
¿Los sistemas de almacenamiento de datos están

implementados de modo tal que los datos requeridos SI SI
puedan recuperarse de una manera que resulte
aceptable para un tribunal de justicia, por ej. Que todos
los registros requeridos puedan recuperarse en un plazo
y un formato aceptable?
¿El sistema de almacenamiento y manipulación garantiza
una clara identificación de los registros y de su período SI SI
de retención legal o normativa?
¿Existen mecanismo que permitan una adecuada
destrucción de los registros una vez transcurrido el SI SI
período de validez?
¿Existen procedimiento para la retención,
almacenamiento, manipulación y eliminación de registros SI SI
e información?
¿Existe un inventario de fuentes de información clave?

SI SI
¿Están implementados controles adecuados para

proteger los registros y la información esenciales contra SI SI
pérdida, destrucción y falsificación?
[A.18.1.4] - Protección y privacidad de la información de carácter personal.
COBERTURA CONTROL:
Aplica
¿Se realiza el tratamiento adecuado de los datos

SI SI
personales, según marca la legislación vigente?
145
Aplica
¿Están designados los responsables a cargo de la

protección de datos que oriente a los gerentes, usuarios y SI SI
prestadores de servicios acerca de sus responsabilidades
individuales y de los procedimientos específicos que
deben seguirse?
¿Están designados los propietarios de los datos? SI SI
[A.18.1.5] - Regulación de los controles criptográficos.
COBERTURA CONTROL:
Aplica
¿Está controlada la importación y/o exportación de

hardware y software para desempeñar funciones SI SI
criptográficas?
¿Está controlada la importación y/o exportación de
hardware y software diseñado para aceptar funciones SI SI
criptográficas?
¿Están definidos métodos obligatorios o discrecionales
de acceso de los países a la información cifrada por SI SI
hardware y software para proveer de confidencialidad al
contenido?
[A.18.2] - Revisiones de la seguridad de la información
146
[A.18.2.1] - Revisión independiente de la seguridad de la información.
COBERTURA CONTROL:
Aplica
¿El documento que fija la política de seguridad de la

información, establece la política y las responsabilidades SI SI
para la seguridad de la información de forma clara y
precisa, y ha sido revisado de forma independiente?
[A.18.2.2] - Cumplimiento de las políticas y normas de seguridad.
COBERTURA CONTROL:
Aplica
¿Se realiza una revisión periódica de los sistemas de

SI SI
información?
¿Se realiza una revisión periódica de los proveedores de
SI SI
sistemas?
¿Se realiza una revisión periódica de los propietarios de
información y de recursos de información? SI SI
¿Se realiza una revisión periódica de cumplimiento de

SI SI
política de seguridad por parte de los usuarios?
¿Se realiza una revisión periódica de cumplimiento de
SI SI
política de seguridad por parte de los gerentes?
147
[A.18.2.3] - Comprobación del cumplimiento técnico.
COBERTURA CONTROL:
Aplica
¿Se realiza una verificación periódica de controles Sw y

Hw, para determinar su correcta implementación SI SI
(verificación de cumplimiento)?
¿Se realizan pruebas de penetración para la verificación
SI SI
de compatibilidad técnica?
148
149
SOA
VERSIÓN EXCLUSIVA ACADÉMICA USO NO COMERCIAL
Proyecto: UE
Fecha 12/12/21 3:08
Fecha Informe: 11/01/2022
Patrón: SNT_08_001 - Patrón General 2013
Responsable: Ing. Rebeca Sisalima
Descripción: La empresa UE, es una institución educativa particular de tercer nivel,

localizada en la ciudad de Guayaquil, cantón de Samborondón
150
SOA UE - 11/01/2022
CÓDIGO DOMINIO: [A.5]
NOMBRE DOMINIO: Políticas de Seguridad de la información
CÓDIGO OBJETIVO: [A.5.1]
NOMBRE OBJETIVO: Directrices de gestión de la seguridad de la información
DESCRIPCIÓN: Proporcionar orientación y apoyo a la gestión de seguridad de la

información de acuerdo con los requisitos del negocio, las leyes y
normas pertinentes.
2
SOA UE - 11/01/2022
CÓDIGO CONTROL: [A.5.1.1]
NOMBRE CONTROL: Políticas para la seguridad de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos necesarios y obligatorios que deben ser

observados por los funcionarios de la compañía y en especial por los
encargados de seguridad, para garantizar la confidencialidad, disponibilidad e
integridad de la información que se genera y gestiona dentro de la compañía.
IMPLEMENTACIÓN: Se establecen Políticas para el aseguramiento de la información
RESPONSABLE: Directivos Institucionales
ARCHIVOS ANEXOS
3
SOA UE - 11/01/2022
NOMBRE CONTROL: Revisión de la política de seguridad de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Definir plazo y mecanismo para la revisión formal de la política de seguridad y

su actualización periódica, de acuerdo con las necesidades organizacionales y
de ley.
IMPLEMENTACIÓN: Se establecen Políticas formales de realización de auditorias cada año.
ARCHIVOS ANEXOS
4
SOA UE - 11/01/2022
NOMBRE DOMINIO: Organización de la seguridad de la información
NOMBRE OBJETIVO: Organización interna
DESCRIPCIÓN: Establecer un marco de gestión para iniciar y controlar la

implementación y operación de la seguridad de la información
dentro de la organización.
5
SOA UE - 11/01/2022
NOMBRE CONTROL: Roles y responsabilidades en seguridad de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Establecer los roles y responsabilidades necesarios para garantizar el

cumplimiento de las disposiciones en materia de seguridad de la información.
IMPLEMENTACIÓN: Se establecen Políticas para definir los roles y las funciones del personal con
el objetivo de cumplir las tareas.
ARCHIVOS ANEXOS
6
SOA UE - 11/01/2022
NOMBRE CONTROL: Segregación de tareas
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Identificar la presencia de conflictos en la implementación de actividades

relacionadas con seguridad de la información y garantizar que estos son
resueltos.
IMPLEMENTACIÓN: Se asigna responsables en las diferentes actividades.
ARCHIVOS ANEXOS
7
SOA UE - 11/01/2022
NOMBRE CONTROL: Contacto con las autoridades
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Disponer de un listado de contactos claramente identificados y divulgados a

los interesados, que puedan ser fácilmente ubicados en caso de eventos o
emergencias.
IMPLEMENTACIÓN: Se cuenta con una agenda de contactos que involucran las visitas ,
instalaciones, recursos y activos de información.
ARCHIVOS ANEXOS
8
SOA UE - 11/01/2022
NOMBRE CONTROL: Contacto con grupos de interés especial
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Garantizar la actualización permanente del encargado de seguridad sobre

temas que impactan su labor, mediante su participación activa en foros y
grupos de investigación.
IMPLEMENTACIÓN: Se incentiva la colaboración del personal , inscribiéndolos en cursos que

fortalezcan sus conocimientos y estos se ejecuten dentro de la institución.
ARCHIVOS ANEXOS
9
SOA UE - 11/01/2022
NOMBRE CONTROL: Seguridad de la información en la gestión de proyectos
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Asegurar la implementación de los lineamientos y directrices definidos en

materia de seguridad de la información, durante la ejecución de los proyectos
y la prestación de los servicios.
IMPLEMENTACIÓN: Se establecen pautas y cronogramas que permiten asegurar la informacion al

momento de llevar a cabo un proyecto.
ARCHIVOS ANEXOS
10
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Los dispositivos móviles y el teletrabajo
DESCRIPCIÓN:
Garantizar la seguridad en el teletrabajo y en el uso de
dispositivos móviles.
11
SOA UE - 11/01/2022
NOMBRE CONTROL: Política de dispositivos móviles
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el manejo adecuado de la seguridad de la

información en dispositivos móviles.
IMPLEMENTACIÓN: Se establecen Políticas que mejoren la seguridad de la información al

momento en el que el dispositivo de conecta a la red.
ARCHIVOS ANEXOS
12
SOA UE - 11/01/2022
NOMBRE CONTROL: Teletrabajo
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Definir directrices de obligatorio cumplimiento por parte del personal que
eventualmente realiza actividades de tipo laboral fuera de las instalaciones de
la compañía.
IMPLEMENTACIÓN: Se establecen Políticas de aseguramiento del hardware, se prohíbe instalar

aplicativos ajenos a la institución, integración del equipo y los datos que se
manejan , entre otros.
ARCHIVOS ANEXOS
13
SOA UE - 11/01/2022
NOMBRE DOMINIO: Seguridad ligada a los recursos humanos
NOMBRE OBJETIVO: Antes del empleo
DESCRIPCIÓN: Para asegurarse de que los empleados y contratistas entiendan

sus responsabilidades y son adecuados para las funciones para
las que se consideran.
14
SOA UE - 11/01/2022
NOMBRE CONTROL: Investigación de antecedentes
FECHA 12/12/21 3:08 FECHA 10/01/22 20:26
APLICA: SI
DESCRIPCIÓN: Establecer controles específicos durante el proceso de selección y

contratación del recurso humano, con el fin de asegurar su idoneidad para el
desempeño del cargo y las responsabilidades asociadas en cuanto a
IMPLEMENTACIÓN: Se establecen políticas de confidencialidad de los datos, manipulados en la

institución , ademas de conocer la integridad del personal que será
contratado.
ARCHIVOS ANEXOS
15
SOA UE - 11/01/2022
NOMBRE CONTROL: Términos y condiciones del empleo
FECHA 12/12/21 3:08 FECHA 9/01/22 16:12
APLICA: SI
DESCRIPCIÓN: Establecer políticas asociadas a la protección de la seguridad de la

información, que sean de obligatorio cumplimiento para el personal.
IMPLEMENTACIÓN: Se ejecutan reglas donde se le exige al personal administrativo la correcta

manipulación de los datos.
ARCHIVOS ANEXOS
16
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Durante el empleo
DESCRIPCIÓN:
Asegurar que los empleados y contratistas conozcan y cumplan
con sus responsabilidades en seguridad de la información.
17
SOA UE - 11/01/2022
NOMBRE CONTROL: Responsabilidades de gestión
FECHA 12/12/21 3:08 FECHA 9/01/22 16:18
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos necesarios para garantizar que los empleados y
terceros conozcan e implementen sus responsabilidades en gestión de
IMPLEMENTACIÓN: Se realizan comunicativos masivos en donde se les da a conocer al personal

todos los procesos y ejecuciones que se deben de tomar en cuenta para la
protección de los datos.
ARCHIVOS ANEXOS
18
SOA UE - 11/01/2022
NOMBRE CONTROL:
Concienciación, educación y capacitación en seguridad de la
información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:19
APLICA: SI
DESCRIPCIÓN: Establece e implementar los mecanismos a través de los cuales la compañía

mantiene capacitado y comprometido a su personal en materia de seguridad
de la información.
IMPLEMENTACIÓN: Se establecen capacitaciones mensuales donde se incentiva al personal a

proteger la informacion y hacer una correcta manipulación de la misma.
ARCHIVOS ANEXOS
19
SOA UE - 11/01/2022
NOMBRE CONTROL: Proceso disciplinario
FECHA 12/12/21 3:08 FECHA 9/01/22 16:15
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para la aplicación de sanciones o procesos

disciplinarios asociados a la ocurrencia de incidentes de seguridad.
IMPLEMENTACIÓN: Se establecen sanciones cuando los usuarios hagan mala manipulación de

los datos institucionales como eliminación, acceso no autorizado, filtración de
los datos, lo que afecta directamente a la seguridad de la información.
ARCHIVOS ANEXOS
20
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Finalización del empleo o cambio en el puesto de trabajo
DESCRIPCIÓN:
Proteger los intereses de la organización como parte del proceso
de cambio o finalización del empleo.
21
SOA UE - 11/01/2022
NOMBRE CONTROL: Responsabilidades ante la finalización o cambio
FECHA 12/12/21 3:08 FECHA 9/01/22 16:21
APLICA: SI
DESCRIPCIÓN: Establecer el procedimiento para el retiro de permisos y la devolución de

activos y dispositivos cuando finaliza el vínculo laboral de los funcionarios con
la compañía.
IMPLEMENTACIÓN: Se establecen clausulas con los colaboradores donde se le da a conocer el

proceso que debe de seguir al momento de realizar la entrega o devolución
de un activo.
ARCHIVOS ANEXOS
22
SOA UE - 11/01/2022
NOMBRE DOMINIO: Gestión de activos
NOMBRE OBJETIVO: Responsabilidad sobre los activos
DESCRIPCIÓN: Identificar los activos de la organización y definir las

responsabilidades de protección adecuadas.
23
SOA UE - 11/01/2022
NOMBRE CONTROL: Inventario de activos
FECHA 12/12/21 3:08 FECHA 9/01/22 16:23
APLICA: SI
DESCRIPCIÓN: Inventariar los activos de información de la compañía con el objeto de

establecer los controles necesarios para su adecuada protección.
IMPLEMENTACIÓN: El personal Técnico de IT , realiza un inventario de los activos de forma

mensual, donde se da a conocer la informacion del equipo que usa el
colaborador, como ip, características, actualización de software, entre otros.
ARCHIVOS ANEXOS
24
SOA UE - 11/01/2022
NOMBRE CONTROL: Propiedad de los activos
FECHA 12/12/21 3:08 FECHA 9/01/22 16:24
APLICA: SI
DESCRIPCIÓN: Establecer la propiedad sobre los activos de información identificados, con el

fin de que las responsabilidades sobre ellos puedan ser monitoreadas
adecuadamente.
IMPLEMENTACIÓN: El departamento Administrativo , previo a la entrega del equipo etiqueta los

activos , los mismos que son identificados para tener un correcto control del
mismo.
ARCHIVOS ANEXOS
25
SOA UE - 11/01/2022
NOMBRE CONTROL: Uso aceptable de los activos
FECHA 12/12/21 3:08 FECHA 9/01/22 16:27
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para asegurar que los activos de información sean
utilizados de acuerdo con las políticas establecidas por la organización.
IMPLEMENTACIÓN: Se configuran restricciones en los equipos por seguridad, estas restricciones

suelen ser la prohibición de hacer uno de dispositivos externos, instalar
aplicaciones ajenas a la institución, entro otros.
ARCHIVOS ANEXOS
26
SOA UE - 11/01/2022
NOMBRE CONTROL: Devolución de activos
FECHA 12/12/21 3:08 FECHA 9/01/22 16:29
APLICA: SI
DESCRIPCIÓN: Definir los mecanismos para realizar la devolución de activos a la compañía.
IMPLEMENTACIÓN: Se establecen directrices donde se da a conocer al personal el uso correcto

de los activos y que estos deben ser entregados a la institución en perfectas
condiciones.
ARCHIVOS ANEXOS
27
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Clasificación de la información
DESCRIPCIÓN:
Asegurar que la información reciba un nivel adecuado de
protección de acuerdo con su importancia para la organización.
28
SOA UE - 11/01/2022
NOMBRE CONTROL: Clasificación de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:32
APLICA: SI
DESCRIPCIÓN: Establecer una clasificación de la información que permita definir claramente

los controles para garantizar su seguridad, disponibilidad e integridad.
IMPLEMENTACIÓN: La institución utiliza diversas aplicaciones, donde los usuarios tienen acceso
limitado , todo dependerá del rol que maneje dicho usuario, de esta forma se
clasifica el acceso a la información y se garantiza la disponibilidad e
integridad.
ARCHIVOS ANEXOS
29
SOA UE - 11/01/2022
NOMBRE CONTROL: Etiquetado de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:42
APLICA: SI
DESCRIPCIÓN: Establecer un mecanismo para etiquetar la información considerada como

confidencial con el objetivo de poder identificarla fácilmente.
IMPLEMENTACIÓN: Se crea y asigna un nombre a las etiquetas de confidencialidad en función a

los métodos de clasificación de la organización para distintos niveles de
confidencialidad de contenido.
ARCHIVOS ANEXOS
30
SOA UE - 11/01/2022
NOMBRE CONTROL: Manipulado de la información
FECHA 12/12/21 3:08 FECHA 9/01/22 16:57
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios para el manejo de la información de

acuerdo con su clasificación.
IMPLEMENTACIÓN: Se establecen procedimientos necesarios para el manejo de la información de

acuerdo con su clasificación.
ARCHIVOS ANEXOS
31
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Manipulación de los soportes
DESCRIPCIÓN:
Evitar la revelación, modificación, eliminación o destrucción no
autorizadas de la información almacenada en soportes.
32
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de soportes extraíbles
FECHA 12/12/21 3:08 FECHA 9/01/22 17:02
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el uso de soportes extraíbles con el fin de

prevenir la modificación, destrucción o pérdida de información confidencial.
IMPLEMENTACIÓN: Dentro de las políticas de restricción al usuario, Active Directory se establece

una política donde se inhabilita el uso de medios extraíbles
ARCHIVOS ANEXOS
33
SOA UE - 11/01/2022
NOMBRE CONTROL: Eliminación de soportes
FECHA 12/12/21 3:08 FECHA 9/01/22 17:12
APLICA: SI
DESCRIPCIÓN: Definir los mecanismos para asegurar el borrado seguro de información

confidencial.
IMPLEMENTACIÓN: Se establecen políticas de borrado con el objetivo de dar un seguimiento de

los dispositivos que están en funcionamiento, las personas o departamentos
responsables, la información contenida en ellos y su clasificación
en función del grado de criticidad para el negocio , ademas realizar el Control

de cualquier operación realizada sobre un dispositivo ya sea un
mantenimiento, reparación, sustitución, etc.
ARCHIVOS ANEXOS
34
SOA UE - 11/01/2022
NOMBRE CONTROL: Soportes físicos en tránsito
FECHA 12/12/21 3:08 FECHA 9/01/22 17:16
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos para el manejo de soportes físicos con información

organizacional que van fuera de la organización.
IMPLEMENTACIÓN: Se establecen políticas de respaldo y conservación de archivos físicos.
ARCHIVOS ANEXOS
35
SOA UE - 11/01/2022
NOMBRE DOMINIO: Control de acceso
NOMBRE OBJETIVO: Requisitos de negocio para el control de acceso
DESCRIPCIÓN: Limitar el acceso a los recursos de tratamiento de información y

a la información.
36
SOA UE - 11/01/2022
NOMBRE CONTROL: Política de control de acceso
FECHA 12/12/21 3:08 FECHA 9/01/22 17:20
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para el control de acceso físico y virtual a los
sistemas utilizados por la compañía, con el fin de garantizar la seguridad de la
información que en ellos se maneja.
IMPLEMENTACIÓN: Los sistemas de control de acceso físico establecen mecanismos de

seguridad para evitar ataques físicos a los recursos, que generalmente
ocurren cuando un intruso tiene acceso a las dependencias y es capaz de
acceder físicamente a los sistemas y a nivel virtual las conexiones se realizan
a través de vpn donde cada usuario tiene su propio usuario y clave y estos
aplicativos se instalan en equipos institucionales por lo que se controla su
acceso.
ARCHIVOS ANEXOS
37
SOA UE - 11/01/2022
NOMBRE CONTROL: Acceso a las redes y a los servicios de red
FECHA 12/12/21 3:08 FECHA 9/01/22 17:24
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los permisos necesarios para garantizar el acceso

controlado de los usuarios autorizados a redes y recursos de red de la
compañía.
IMPLEMENTACIÓN: Se establecen políticas restrictivas a nivel de red donde los usuarios sólo
deben tener acceso a la red admin y a los servicios para los que se les ha
autorizado específicamente a usar. El acceso es controlado por un
procedimiento de inicio seguro y restringido, de acuerdo con la política de
control de acceso.
ARCHIVOS ANEXOS
38
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Gestión de acceso de usuario
DESCRIPCIÓN:
Garantizar el acceso de usuarios autorizados y evitar el acceso
no autorizado a los sistemas y servicios.
39
SOA UE - 11/01/2022
NOMBRE CONTROL: Registro y baja de usuario
FECHA 12/12/21 3:08 FECHA 9/01/22 17:26
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios y los lineamientos requeridos para

el registro y la baja de usuarios de los sistemas informáticos de la compañía.
IMPLEMENTACIÓN: Junto con el departamento de TTHH, se trabaja conjuntamente para tener un

registro del personal activo y saliente de la institución y permitir o denegar los
accesos.
ARCHIVOS ANEXOS
40
SOA UE - 11/01/2022
NOMBRE CONTROL: Provisión de acceso de usuario
FECHA 12/12/21 3:08 FECHA 9/01/22 17:28
APLICA: SI
DESCRIPCIÓN: Establecer los procedimientos necesarios y los lineamientos requeridos para

dar permisos de acceso a los usuarios de los sistemas informáticos de la
compañía.
IMPLEMENTACIÓN: Se establecen políticas donde unicamente el acceso al sistema lo tendrán las

personas autorizadas y el nivel de consulta de información dependerá del rol
que este maneje.
ARCHIVOS ANEXOS
41
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de privilegios de acceso
FECHA 12/12/21 3:08 FECHA 9/01/22 17:30
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para gestionar los privilegios de acceso a
la información de la compañía.
IMPLEMENTACIÓN: Esta política va de la mano con la anterior ya el privilegió o rol que tenga el
usuario dependerá mucho de la función en la cual se encuentre dentro de la
empresa.
ARCHIVOS ANEXOS
42
SOA UE - 11/01/2022
NOMBRE CONTROL:
Gestión de la información secreta de autenticación de los
usuarios
FECHA 12/12/21 3:08 FECHA 10/01/22 20:32
APLICA: SI
DESCRIPCIÓN: Contar con un procedimiento documentado e implementado para la gestión

segura de contraseñas.
IMPLEMENTACIÓN: Se establecen controles para garantizar la confidencialidad de la información,

a través de clausulas en los contratos, donde se especifica el cambio de
contraseñas iniciales después de su primer uso , contraseñas seguras y no
compartidas, etc.
RESPONSABLE: Directivo Institucional
ARCHIVOS ANEXOS
43
SOA UE - 11/01/2022
NOMBRE CONTROL: Revisión de los derechos de acceso de usuario
FECHA 12/12/21 3:08 FECHA 10/01/22 21:29
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para asegurar que los permisos otorgados a los
usuarios permanecen vigentes y, en caso de que no sea así, para
implementar las medidas necesarias de manera oportuna.
IMPLEMENTACIÓN: Se establecen políticas en donde se realiza un control periódico de los

permisos de acceso a los usuarios, donde se valida que los usuarios cuenten
con cuentas privilegiadas durante el tiempo en el que permanecen en la
institución y que los cambios que se ejecuten sean registrados.
ARCHIVOS ANEXOS
44
SOA UE - 11/01/2022
NOMBRE CONTROL: Retirada o reasignación de los derechos de acceso
FECHA 12/12/21 3:08 FECHA 10/01/22 21:39
APLICA: SI
DESCRIPCIÓN: Los derechos de acceso de todos los empleados y terceras partes, a la

información y a los recursos de tratamiento de la información deben ser
retirados a la finalización del empleo, del contrato o del acuerdo, o ajustados
en caso de cambio.
IMPLEMENTACIÓN: Se establecen políticas donde se indica que al haber un ajuste ,

restructuración o eliminación del personal se pueden modificar los derechos
de acceso del usuario, es decir denegar el acceso al sistema a un
determinado usuario.
ARCHIVOS ANEXOS
45
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Responsabilidades de usuario
DESCRIPCIÓN:
Para que los usuarios se hagan responsables de salvaguardar
su información de autenticación.
46
SOA UE - 11/01/2022
NOMBRE CONTROL: Uso de la información secreta de autenticación
FECHA 12/12/21 3:08 FECHA 10/01/22 21:44
APLICA: SI
DESCRIPCIÓN: Definir y asegurar su divulgación e implementación, una política que garantice

el uso seguro de la información de autenticación de los usuarios de los
sistemas de información de la compañía.
IMPLEMENTACIÓN: Se establecen políticas donde se determina que cada usuario es responsable

de la información que este maneja y de mantenerla a salvo, estableciendo
normativas para el uso correcto de contraseñas , evitando la divulgación ,
registros de la misma , etc.
ARCHIVOS ANEXOS
47
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Control de acceso a sistemas y aplicaciones
DESCRIPCIÓN: Prevenir el acceso no autorizado a los sistemas y aplicaciones.
48
SOA UE - 11/01/2022
NOMBRE CONTROL: Restricción del acceso a la información
FECHA 12/12/21 3:08 FECHA 10/01/22 22:53
APLICA: SI
DESCRIPCIÓN: Establecer lineamientos que aseguren solamente el acceso autorizado a los

sistemas de información de la compañía.
IMPLEMENTACIÓN: Se establecen políticas de control para establecer inicios de sesión seguros

donde se valide que la persona es quien dice ser, a través de identificadores.
ARCHIVOS ANEXOS
49
SOA UE - 11/01/2022
NOMBRE CONTROL: Procedimientos seguros de inicio de sesión
FECHA 12/12/21 3:08 FECHA 10/01/22 23:01
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos necesarios para garantizar inicios de sesión

seguros en los aplicativos organizacionales.
IMPLEMENTACIÓN: Se establecen procedimientos de doble autenticación o doble factor como

mensajes de textos o llamadas al numero de celular del titular para acceder a
los sistemas.
ARCHIVOS ANEXOS
50
SOA UE - 11/01/2022
NOMBRE CONTROL: Sistema de gestión de contraseñas
FECHA 12/12/21 3:08 FECHA 10/01/22 23:03
APLICA: SI
DESCRIPCIÓN: Definir los mecanismo y medios para asegurar la gestión segura de las
contraseñas de manera que se garantice que solo el usuario la conoce y que
la cambia periódicamente.
IMPLEMENTACIÓN: Se establecen procedimientos donde los sistemas de administrativos, se les

deba aplicar contraseñas de calidad, rechazar contraseñas débiles, y validar
confirmación.
ARCHIVOS ANEXOS
51
SOA UE - 11/01/2022
NOMBRE CONTROL: Uso de utilidades con privilegios
FECHA 12/12/21 3:08 FECHA 10/01/22 23:05
APLICA: SI
DESCRIPCIÓN: Establecer políticas asociadas al uso seguro de utilidades en los sistemas

para garantizar que no sean accedidas o modificadas sin autorización.
IMPLEMENTACIÓN: Se establecen normas donde los programas con funciones privilegiadas

tienen que requerir autenticación por separado y estar segregados de las
aplicaciones del sistema. Todas las actividades se registran.
ARCHIVOS ANEXOS
52
SOA UE - 11/01/2022
NOMBRE CONTROL: Control de acesso al código fuente de los programas
FECHA 12/12/21 3:08 FECHA 10/01/22 23:14
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar el acceso controlado al código fuente

de las aplicaciones organizacionales
IMPLEMENTACIÓN: Se establecen políticas donde únicamente el personal autorizado pueda

acceder al código fuente de la aplicaciones organizacionales, este estará
protegido con acceso restringido mediante el uso de librerías fuentes.
ARCHIVOS ANEXOS
53
SOA UE - 11/01/2022
NOMBRE DOMINIO: Criptografía
NOMBRE OBJETIVO: Controles criptográficos
DESCRIPCIÓN: Garantizar un uso adecuado y eficaz de la criptografía para

proteger la confidencialidad, autenticidad y / o integridad de la
información.
54
SOA UE - 11/01/2022
NOMBRE CONTROL: Política de uso de los controles criptográficos
FECHA 12/12/21 3:08 FECHA 10/01/22 23:21
APLICA: NO
DESCRIPCIÓN: Establecer una política organizacional para el uso de información criptográfica

con el objeto de asegurar su confidencialidad, autenticidad e integridad.
IMPLEMENTACIÓN:
RESPONSABLE: N/A
ARCHIVOS ANEXOS
55
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de claves
FECHA 12/12/21 3:08 FECHA 10/01/22 23:37
APLICA: SI
DESCRIPCIÓN: Definir el mecanismo para garantizar la seguridad y restricción de acceso a

las claves de información criptográfica.
IMPLEMENTACIÓN: se implementa un un sistema de cifrado para dificultar la violación de la

información evitando que se vulnere la confidencialidad o su integridad.
ARCHIVOS ANEXOS
56
SOA UE - 11/01/2022
NOMBRE DOMINIO: Seguridad física y del entorno
NOMBRE OBJETIVO: Áreas seguras
DESCRIPCIÓN: Prevenir el acceso físico no autorizado, los daños e interferencia

a la información de la organización y a los recursos de
tratamiento de la información.
57
SOA UE - 11/01/2022
NOMBRE CONTROL: Perímetro de seguridad física
FECHA 12/12/21 3:08 FECHA 11/01/22 1:48
APLICA: SI
DESCRIPCIÓN: Identificar los perímetros de seguridad de la compañía con el fin de definir

controles que garanticen su protección.
IMPLEMENTACIÓN: Actualmente se cuenta con un control de acceso orientado a la protección al

ingreso no autorizado, presentando credenciales de trabajo, o carnet
estudiantil, los usuarios únicamente pueden ingresar al campus a través de
un código QR que es generado por el sistema estudiantil.
ARCHIVOS ANEXOS
58
SOA UE - 11/01/2022
NOMBRE CONTROL: Controles físicos de entrada
FECHA 12/12/21 3:08 FECHA 11/01/22 2:06
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para proteger los perímetros de seguridad
definidos de accesos no autorizados.
IMPLEMENTACIÓN: Actualmente existen áreas/departamentos que son considerados seguros

estos mismos cuenta con controles de acceso , el cual corresponde con un
análisis facial que permite solo el ingreso a personal autorizado.
ARCHIVOS ANEXOS
59
SOA UE - 11/01/2022
NOMBRE CONTROL: Seguridad de oficinas, despachos y recursos
FECHA 12/12/21 3:08 FECHA 11/01/22 2:24
APLICA: SI
DESCRIPCIÓN: Establecer los controles necesarios para garantizar la seguridad de las

instalaciones de la compañía.
IMPLEMENTACIÓN: En cuanto a las instalaciones cuentan con un diseño que mitiga en lo máximo
el posible riesgo que la información confidencial sea accesible para los
visitantes.
ARCHIVOS ANEXOS
60
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección contra las amenazas externas y ambientales
FECHA 12/12/21 3:08 FECHA 11/01/22 2:27
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para minimizar las amenazas externas y ambientales que
puedan afectar los activos de información de la compañía.
IMPLEMENTACIÓN: La institución se establecen Planes de Continuidad del Negocio y de

Recuperación ante desastres, que de una u otra forman minimizan los riesgos
externos y ambientales, sin embargo es considerado por la institución el
implementar medidas de protección contra inundaciones, incendios y
terremotos para mitigar sus efectos.
ARCHIVOS ANEXOS
61
SOA UE - 11/01/2022
NOMBRE CONTROL: El trabajo en áreas seguras
FECHA 12/12/21 3:08 FECHA 11/01/22 2:29
APLICA: SI
DESCRIPCIÓN: Establecer políticas para el trabajo en áreas seguras.
IMPLEMENTACIÓN: Se establecen políticas donde se asegura al personal , pueda realizar

actividades en áreas completamente seguras, asegurando su integridad
desarrollar un buen estado laboral.
ARCHIVOS ANEXOS
62
SOA UE - 11/01/2022
NOMBRE CONTROL: Áreas de carga y descarga
FECHA 12/12/21 3:08 FECHA 11/01/22 2:31
APLICA: SI
DESCRIPCIÓN: Establecer las áreas en las cuales estará permitida la carga y descarga de
información en medio físico.
IMPLEMENTACIÓN: En la institución se establecen horarios definidos de ingreso y salida, Control

de personal, realización de inventarios ,etc.
ARCHIVOS ANEXOS
63
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Seguridad de los equipos
DESCRIPCIÓN:
Evitar la pérdida, daño, robo o el compromiso de los activos y la
interrupción de las operaciones de la organización.
64
SOA UE - 11/01/2022
NOMBRE CONTROL: Emplazamiento y protección de equipos
FECHA 12/12/21 3:08 FECHA 11/01/22 2:34
APLICA: SI
DESCRIPCIÓN: Establecer las medidas de control necesarias para evitar la pérdida, robo o
daño de los equipos que contienen información de la compañía.
IMPLEMENTACIÓN: La institución avala mucho tener planes de continuidad , la misma que es

indicada a los usuarios el mantener su información grabada en la nube donde
el titular sea el único en tener el acceso , esto mitigara en cierta forma el
causar interrupciones en la actividad de una organización o vulnerar la
confidencialidad de la información causada por robos de activos.
ARCHIVOS ANEXOS
65
SOA UE - 11/01/2022
NOMBRE CONTROL: Instalaciones de suministro
FECHA 12/12/21 3:08 FECHA 11/01/22 2:37
APLICA: SI
DESCRIPCIÓN: Asegurar el suministro eléctrico necesario para el adecuado funcionamiento

de los equipos y la protección de estos contra altas tensiones eléctricas.
IMPLEMENTACIÓN: La institución cuenta con UPS, internos los mismos que se alimentan de
energía solar, cada puesto de trabajo tiene un toma naranja la cual jamas se
paga por que se encuentran conectados al ups, en esta toma van enchufados
todos los dispositivos eléctrico lo cual asegura que el suministro eléctrico
funcione correctamente.
ARCHIVOS ANEXOS
66
SOA UE - 11/01/2022
NOMBRE CONTROL: Seguridad del cableado
FECHA 12/12/21 3:08 FECHA 11/01/22 2:38
APLICA: SI
DESCRIPCIÓN: Establecer las características de seguridad del cableado de red y eléctrica de

la compañía.
IMPLEMENTACIÓN: En la institución se trata de evitar en lo posible daño de las infraestructuras

como las posibles interferencias que corrompan los datos o el suministro
ARCHIVOS ANEXOS
67
SOA UE - 11/01/2022
NOMBRE CONTROL: Mantenimiento de los equipos
FECHA 12/12/21 3:08 FECHA 11/01/22 2:40
APLICA: SI
DESCRIPCIÓN: Definir e implementar los lineamientos para el mantenimiento preventivo de

los equipos.
IMPLEMENTACIÓN: Se implementan directrices de control para garantizar que los equipos se

mantengan adecuadamente y no se deterioren y estén siempre disponibles,
para ello se sigue las instrucciones de los proveedores.
ARCHIVOS ANEXOS
68
SOA UE - 11/01/2022
NOMBRE CONTROL: Retirada de materiales propiedad de la empresa
FECHA 12/12/21 3:08 FECHA 11/01/22 2:42
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para controlar el retiro de materiales propios de la

compañía.
IMPLEMENTACIÓN: La institución establece controles para la identificación y autorización de

personal autorizado a retirar equipos o que estos activos estén fuera de la
organización, a través de registros realizados por el área de administración.
ARCHIVOS ANEXOS
69
SOA UE - 11/01/2022
NOMBRE CONTROL: Seguridad de los equipos fuera de las instalaciones
FECHA 12/12/21 3:08 FECHA 11/01/22 3:14
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar la seguridad de la información

contenida en los equipos que se mantienen fuera de las instalaciones de la
compañía.
IMPLEMENTACIÓN: Se mantiene inventariado los activos que abandonen la institución y se

realizan evaluaciones de riesgo para instalaciones donde serán utilizados.
ARCHIVOS ANEXOS
70
SOA UE - 11/01/2022
NOMBRE CONTROL: Reutilización o eliminación segura de equipos
FECHA 12/12/21 3:08 FECHA 11/01/22 3:16
APLICA: SI
DESCRIPCIÓN: Definir lineamientos relacionados con la reutilización y eliminación segura de

información contenida en los equipos a cargo de la compañía.
IMPLEMENTACIÓN: Para los equipos reutilizados se mantiene o registran políticas de destrucción

de información la misma que consiste en formateo de los discos , los equipos
averiados son analizados antes de su nuevo uso.
ARCHIVOS ANEXOS
71
SOA UE - 11/01/2022
NOMBRE CONTROL: Equipo de usuario desatendido
FECHA 12/12/21 3:08 FECHA 11/01/22 3:18
APLICA: SI
DESCRIPCIÓN: Establecer controles para garantizar que los equipos desatendidos no queden
disponibles para ser manipulados por usuarios no autorizados.
IMPLEMENTACIÓN: Se establecen procedimientos de bloqueo de pantalla, las sesiones abiertas

de las aplicaciones y de la red debe cerrarse cuando las conexiones no se
utilizan, tanto de los equipos de trabajo (PC ESCRITORIO), como de los
dispositivos móviles.
ARCHIVOS ANEXOS
72
SOA UE - 11/01/2022
NOMBRE CONTROL: Política de puesto de trabajo despejado y pantalla limpia
FECHA 12/12/21 3:08 FECHA 11/01/22 3:20
APLICA: SI
DESCRIPCIÓN: Definir políticas de puesto de trabajo despejado y pantalla limpia con el fin de
evitar acceso no controlado a información confidencial.
IMPLEMENTACIÓN: La institución establece políticas, que indica que la pantalla debe estar
bloqueada y no mostrar información cuando el equipo no esté en uso y los
escritorios deben estar libres de papeles cuando no estén en uso o
desatendidos.
ARCHIVOS ANEXOS
73
SOA UE - 11/01/2022
NOMBRE DOMINIO: Seguridad de las operaciones
NOMBRE OBJETIVO: Procedimientos y responsabilidades operacionales
DESCRIPCIÓN: Asegurar el funcionamiento correcto y seguro de las

instalaciones de tratamiento de la información.
74
SOA UE - 11/01/2022
NOMBRE CONTROL: Documentación de procedimientos de la operación
FECHA 12/12/21 3:08 FECHA 11/01/22 4:53
APLICA: SI
DESCRIPCIÓN: Contar con procedimientos documentados sobre el establecimiento de los

ambientes necesarios para la operación y su control con miras a proteger la
información que allí se trata y genera.
IMPLEMENTACIÓN: Todos los procedimientos son documentados y abarcan todas las actividades
que ponen en relación el procesamiento de la información.
ARCHIVOS ANEXOS
75
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de cambios
FECHA 12/12/21 3:08 FECHA 11/01/22 4:54
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para controlar los cambios en los ambientes que se
utilizan para la operación, minimizando así el impacto de dichos cambios en
la compañía.
IMPLEMENTACIÓN: Se establecen controles que analizan los proceso de cambio a nivel de

infraestructura y procesamiento de la información.
ARCHIVOS ANEXOS
76
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de capacidades
FECHA 12/12/21 3:08 FECHA 11/01/22 5:01
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los mecanismos necesarios para gestionar las

capacidades de los servidores en los que se aloja la información corporativa,
con el objeto de asegurar su correcto funcionamiento y prever fallos.
IMPLEMENTACIÓN: Se establecen procesos que facilitan medir y optimizar todos los recursos ,
prevenir cuellos de botellas en los sistemas y procesos.
ARCHIVOS ANEXOS
77
SOA UE - 11/01/2022
NOMBRE CONTROL: Separación de los recursos de desarrollo, prueba y operación
FECHA 12/12/21 3:08 FECHA 11/01/22 5:03
APLICA: SI
DESCRIPCIÓN: Establecer los lineamientos para separar los recursos de desarrollo, prueba y
operación con el fin de evitar accesos o cambios no intencionales.
IMPLEMENTACIÓN: La institución establece normas que estipulan que Los entornos de desarrollo,
como códigos fuente y herramientas de desarrollo, no tienen que estar
disponibles en entornos de producción para evitar problemas de seguridad.
ARCHIVOS ANEXOS
78
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Protección contra el software malicioso
DESCRIPCIÓN:
Asegurar que los recursos de tratamiento de información y la
información están protegidos contra el malware.
79
SOA UE - 11/01/2022
NOMBRE CONTROL: Controles contra el código malicioso
FECHA 12/12/21 3:08 FECHA 11/01/22 5:06
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para asegurar la protección de la

información contra código malicioso.
IMPLEMENTACIÓN: La institucion establece controles en contra los ataques a la seguridad ,

teniendo sistemas de detección y prevención de intrusos, adicionalmente se
establecen mecanismos de seguridad dirigidos a los usuarios que da a
conocer sus obligaciones con respecto a la seguridad de la información.
ARCHIVOS ANEXOS
80
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Copias de seguridad
DESCRIPCIÓN: Evitar la pérdida de datos.
81
SOA UE - 11/01/2022
NOMBRE CONTROL: Copias de seguridad de la información
FECHA 12/12/21 3:08 FECHA 11/01/22 5:07
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para asegurarla generación de copias de

seguridad que respalden la información contenida en los repositorios de la
compañía.
IMPLEMENTACIÓN: Se establecen mecanismos , para evitar la pérdida de datos mediante la

aplicación de una política de copias de seguridad que permita asegurar la
disponibilidad e integridad de la información ante probables incidentes.
ARCHIVOS ANEXOS
82
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Registros y supervisión
DESCRIPCIÓN: -
83
SOA UE - 11/01/2022
NOMBRE CONTROL: Registro de eventos
FECHA 12/12/21 3:08 FECHA 11/01/22 5:08
APLICA: SI
DESCRIPCIÓN: Definir mecanismos eficientes para disponer del registro de los eventos en los
sistemas y servidores de la compañía.
IMPLEMENTACIÓN: La institución mediante logs , determinar las diferentes eventualidades que

ocurren dentro del sistema como desconexiones, accesos , alertas de fallos,
entre otros.
ARCHIVOS ANEXOS
84
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección de la información de registro
FECHA 12/12/21 3:08 FECHA 11/01/22 5:10
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para asegurar que no haya acceso no autorizado a los
logs de los sistemas operativos.
IMPLEMENTACIÓN: La institución registra los eventos que deben tener el nivel de protección
apropiado para evitar pérdidas, corrupción o cambios no autorizados.
ARCHIVOS ANEXOS
85
SOA UE - 11/01/2022
NOMBRE CONTROL: Registros de administración y operación
FECHA 12/12/21 3:08 FECHA 11/01/22 5:11
APLICA: SI
DESCRIPCIÓN: Establecer políticas para asegurar que los administradores y auditores de

sistemas de información no puedan manipular los registros y trazas de la
información.
IMPLEMENTACIÓN: En todos los sistemas institucionales se registran las actividades no solo de

los usuarios sino también de los administradores, teniendo mucho cuidado
con los que tienen privilegios de administración dado el riesgo que tiene si
pueden acceder a los registros y manipularlos o borrarlos.
ARCHIVOS ANEXOS
86
SOA UE - 11/01/2022
NOMBRE CONTROL: Sincronización del reloj
FECHA 12/12/21 3:08 FECHA 11/01/22 5:12
APLICA: SI
DESCRIPCIÓN: Sincronizar los relojes de los diferentes servidores y estaciones de trabajo con
el objeto de poder disponer de evidencias de trazabilidad y no repudio en caso
de requerirse.
IMPLEMENTACIÓN: La institucion cuenta en cada uno de sus sistemas con un proceso de

sincronización, a la hora de registrar eventos.
ARCHIVOS ANEXOS
87
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Control del software en explotación
DESCRIPCIÓN: Asegurar la integridad del software en explotación.
88
SOA UE - 11/01/2022
NOMBRE CONTROL: Instalación del software en explotación
FECHA 12/12/21 3:08 FECHA 11/01/22 5:14
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para la instalación y control del software instalado en las
estaciones de trabajo y servidores de la compañía.
IMPLEMENTACIÓN: La institución establece que para procesos de prueba las aplicaciones deben
encontrarse en un entorno separado de la red , y toda instalación precia debe
ser autorizada y verificada.
ARCHIVOS ANEXOS
89
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Gestión de la vulnerabilidad técnica
DESCRIPCIÓN:
Reducir los riesgos resultantes de la explotación de las
vulnerabilidades técnicas.
90
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de las vulnerabilidades técnicas
FECHA 12/12/21 3:08 FECHA 11/01/22 5:14
APLICA: SI
DESCRIPCIÓN: Establecer e implementar los mecanismos de control necesarios para analizar

el software antes de su instalación.
IMPLEMENTACIÓN: La institución establece controles para evitar que las posibles vulnerabilidades
del software puedan ser aprovechadas por los atacantes, aplicando
restricciones y alertas de seguridad.
ARCHIVOS ANEXOS
91
SOA UE - 11/01/2022
NOMBRE CONTROL: Restricción en la instalación de software
FECHA 12/12/21 3:08 FECHA 11/01/22 5:15
APLICA: SI
DESCRIPCIÓN: Establecer los mecanismos para restringir el proceso de instalación del

software que genera riesgo para la operación de la compañía.
IMPLEMENTACIÓN: Se establecen políticas donde los software instalados deben ser unicamente
educativos y con licencia respectivamente.
ARCHIVOS ANEXOS
92
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Consideraciones sobre la auditoria de sistemas de información
DESCRIPCIÓN: Minimizar el impacto de las actividades de auditoría en los

sistemas operativos.
93
SOA UE - 11/01/2022
NOMBRE CONTROL: Controles de auditoría de sistemas de información
FECHA 12/12/21 3:08 FECHA 11/01/22 5:21
APLICA: SI
DESCRIPCIÓN: Implementar, de manera planificada, auditorías a los sistemas de información

internos de la compañía.
IMPLEMENTACIÓN: La institución cuenta con políticas y restricciones en donde cada 2 meses

evalúan que cada usuario tenga los privilegios y accesos correctos, donde se
evalué los cambios a realizar en los sistemas , que se puede mejorar, etc.
ARCHIVOS ANEXOS
94
SOA UE - 11/01/2022
NOMBRE DOMINIO: Seguridad de las comunicaciones
NOMBRE OBJETIVO: Gestión de la seguridad de redes
DESCRIPCIÓN: Asegurar la protección de la información en las redes y los

recursos de tratamiento de la información.
95
SOA UE - 11/01/2022
NOMBRE CONTROL: Controles de red
FECHA 12/12/21 3:08 FECHA 11/01/22 5:30
APLICA: SI
DESCRIPCIÓN: Establecer controles sobre la red corporativa, con el objeto de mantenerla

protegida y disponible.
IMPLEMENTACIÓN: La institución establece políticas a nivel de red donde se gestiona o evalúan

los elementos físicos que se interconectan en la red, control de privilegios,
control de acceso y monitoreo.
ARCHIVOS ANEXOS
96
SOA UE - 11/01/2022
NOMBRE CONTROL: Seguridad de los servicios de red
FECHA 12/12/21 3:08 FECHA 11/01/22 5:32
APLICA: SI
DESCRIPCIÓN: Identificar los servicios de red que emplea la compañía, así como los ANS
para cada uno, con el objeto de garantizar su seguridad y disponibilidad.
IMPLEMENTACIÓN: La institución tiene implementado como requisito la relación a la calidad de

servicio mediante acuerdos de Niveles de Servicio o SLA.
ARCHIVOS ANEXOS
97
SOA UE - 11/01/2022
NOMBRE CONTROL: Segregación de las redes
FECHA 12/12/21 3:08 FECHA 11/01/22 5:33
APLICA: SI
DESCRIPCIÓN: Determinar la segregación de redes que utiliza la compañía y sus niveles de

seguridad.
IMPLEMENTACIÓN: Actualmente la institución cuenta con una subdivisión de la red en distintos

dominios lo que hace factible que la red se encuentre mas segura.
ARCHIVOS ANEXOS
98
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Intercambio de información
DESCRIPCIÓN:
Mantener la seguridad en la información que se transfiere dentro
de una organización y con cualquier entidad externa.
99
SOA UE - 11/01/2022
NOMBRE CONTROL: Políticas y procedimientos de intercambio de información
FECHA 12/12/21 3:08 FECHA 11/01/22 5:35
APLICA: SI
DESCRIPCIÓN: Establecer y divulgar lineamientos asociados a la seguridad en el intercambio

de información, tanto a nivel interno como con terceros y contratistas.
IMPLEMENTACIÓN: La institución cuenta con procedimientos y políticas que protegen la

información que se va a transmitir, a través de la red, algún medio
informático, o mediante la red.
ARCHIVOS ANEXOS
100
SOA UE - 11/01/2022
NOMBRE CONTROL: Acuerdos de intercambio de información
FECHA 12/12/21 3:08 FECHA 11/01/22 5:36
APLICA: SI
DESCRIPCIÓN: Establecer acuerdos para el intercambio de información con funcionarios y

terceros.
IMPLEMENTACIÓN: Se establecen políticas de acuerdo al realizar el intercambio de información

para garantizar tanto el uso que se le va a dar a la información como los
niveles de protección.
ARCHIVOS ANEXOS
101
SOA UE - 11/01/2022
NOMBRE CONTROL: Mensajería electrónica
FECHA 12/12/21 3:08 FECHA 11/01/22 5:39
APLICA: SI
DESCRIPCIÓN: Establecer e implementar procedimientos para el uso de mensajería

electrónica.
IMPLEMENTACIÓN: La institucion cuenta con políticas que consisten en aplicar controles

apropiados para mantener la confidencialidad, Integridad y disponibilidad de
la información, mediante la proteccion ante el acceso no autorizado, firmas
digitales, etc
ARCHIVOS ANEXOS
102
SOA UE - 11/01/2022
NOMBRE CONTROL: Acuerdos de confidencialidad o no revelación
FECHA 12/12/21 3:08 FECHA 11/01/22 5:41
APLICA: SI
DESCRIPCIÓN: Establecer acuerdos de confidencialidad con las partes interesadas para

garantizar la no revelación de la información de la compañía.
IMPLEMENTACIÓN: Los acuerdos de confidencialidad dentro de la institucion encierran una lista

de mutuos acuerdos como la naturaleza de la información,
la duración del acuerdo. cláusulas de secreto, entre otros.
ARCHIVOS ANEXOS
103
SOA UE - 11/01/2022
NOMBRE DOMINIO: Adquisición, desarrollo y mantenimiento de los sistemas de

información
NOMBRE OBJETIVO: Requerimientos de seguridad en sistemas de información
DESCRIPCIÓN: Garantizar que la seguridad de la información sea parte integral

de los sistemas de información a través de todo el ciclo de vida.
Esto también incluye los requisitos para los sistemas de
información que proporcionan los servicios a través de redes
públicas.
104
SOA UE - 11/01/2022
NOMBRE CONTROL:
Análisis de requisitos y especificaciones de seguridad de la
información.
FECHA 12/12/21 3:08 FECHA 11/01/22 5:42
APLICA: SI
DESCRIPCIÓN: Definir e implementar requisitos de seguridad para los aplicativos que la

compañía construye durante todo su ciclo de vida.
IMPLEMENTACIÓN: La institución incluye requisitos para la seguridad de la información en la fase

de especificación de condiciones para sistemas de información, donde se
toma en cuenta valoraciones del impacto en el negocio de posibles fallos de
seguridad.
ARCHIVOS ANEXOS
105
SOA UE - 11/01/2022
NOMBRE CONTROL: Asegurar los servicios de aplicaciones en redes públicas
FECHA 12/12/21 3:08 FECHA 11/01/22 5:44
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para asegurar los servicios de aplicaciones que

emplea la compañía.
IMPLEMENTACIÓN: Se establecen políticas en donde los usuarios cuentan con controles

adicionales para la transmisión de información sensible o para acceder a las
aplicaciones.
ARCHIVOS ANEXOS
106
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección de las transacciones de servicios de aplicaciones
FECHA 12/12/21 3:08 FECHA 11/01/22 5:46
APLICA: SI
DESCRIPCIÓN: Definir mecanismos para proteger las transacciones de servicios de

aplicaciones que realiza la compañía.
IMPLEMENTACIÓN: La institución cuenta con controles que garantizan la protección de las

transacciones entre aplicaciones.
ARCHIVOS ANEXOS
107
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Seguridad en el desarrollo y en los procesos de soporte
DESCRIPCIÓN:
Garantizar la seguridad de la información que se ha diseñado e
implementado en el ciclo de vida de desarrollo de sistemas de
información.
108
SOA UE - 11/01/2022
NOMBRE CONTROL: Política de desarrollo seguro
FECHA 12/12/21 3:08 FECHA 11/01/22 5:48
APLICA: SI
DESCRIPCIÓN: Establecer e implementar políticas de desarrollo seguro que serán empleadas

en la construcción y mantenimiento del software.
IMPLEMENTACIÓN: La institucion cuenta con reglas que aseguran los entornos de desarrollo,
permiten y facilitan la gestión de software, definen metodologías que se aplica
en el desarrollo del software, entre otros.
ARCHIVOS ANEXOS
109
SOA UE - 11/01/2022
NOMBRE CONTROL: Procedimiento de control de cambios en sistemas
FECHA 12/12/21 3:08 FECHA 11/01/22 5:51
APLICA: SI
DESCRIPCIÓN: Establecer e implementar un procedimiento para gestionar los cambios en los

sistemas de información que la empresa desarrolla y mantiene.
IMPLEMENTACIÓN: La institucion cuenta con políticas que establecen documentaciones ante los
cambios realizados , Control de personal y de tiempos, Control de versiones
de software, Control de impacto en aplicaciones en servicio etc.
ARCHIVOS ANEXOS
110
SOA UE - 11/01/2022
NOMBRE CONTROL:
Revisión técnica de las aplicaciones tras efectuar cambios en el
sistema operativo
FECHA 12/12/21 3:08 FECHA 11/01/22 5:51
APLICA: SI
DESCRIPCIÓN: Implementar un mecanismo para asegurar el correcto funcionamiento de las

aplicaciones después de implementar cambios en los sistemas operativos.
IMPLEMENTACIÓN: Después de una actualización siempre se revisa y prueban las aplicaciones

para garantizar que los cambios no afecten a su operatividad.
ARCHIVOS ANEXOS
111
SOA UE - 11/01/2022
NOMBRE CONTROL: Restricciones a los cambios en los paquetes de software
FECHA 12/12/21 3:08 FECHA 11/01/22 5:52
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para garantizar que los cambios en el software

instalado son analizados y autorizados antes de su implementación.
IMPLEMENTACIÓN: La institucion limita los cambios en los paquetes software es una buena
medida para delimitar o minimizar la posibilidad de generar incidentes. Se
trata de limitar las actuaciones sobre el software a cambios absolutamente
necesarios.
ARCHIVOS ANEXOS
112
SOA UE - 11/01/2022
NOMBRE CONTROL: Principios de ingeniería de sistemas seguros
FECHA 12/12/21 3:08 FECHA 11/01/22 5:54
APLICA: SI
DESCRIPCIÓN: Establecer e implementar un ciclo de desarrollo de software basado en las

mejores prácticas del mercado.
IMPLEMENTACIÓN: La institucion no requiere documentar los procesos que se vallan a

implementar medidas de seguridad en las técnicas de desarrollo como por
ejemplo
ARCHIVOS ANEXOS
113
SOA UE - 11/01/2022
NOMBRE CONTROL: Entorno de desarrollo seguro
FECHA 12/12/21 3:08 FECHA 11/01/22 5:58
APLICA: SI
DESCRIPCIÓN: Establecer medidas para asegurar un entorno de desarrollo seguro.
IMPLEMENTACIÓN: Para la institucion es de vital importancia evaluar ll grado de sensibilidad de

los datos, los niveles de seguridad aplicables, la confiabilidad del personal ,
antes de elegir un entorno de desarrollo.
ARCHIVOS ANEXOS
114
SOA UE - 11/01/2022
NOMBRE CONTROL: Externalización del desarrollo de software
FECHA 12/12/21 3:08 FECHA 11/01/22 5:59
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para controlar el trabajo y entregables

contratados externamente.
IMPLEMENTACIÓN: La institucion establece y supervisa el cumplimiento de los requisitos de

seguridad.
ARCHIVOS ANEXOS
115
SOA UE - 11/01/2022
NOMBRE CONTROL: Pruebas funcionales de seguridad de sistemas
FECHA 12/12/21 3:08 FECHA 11/01/22 6:02
APLICA: SI
DESCRIPCIÓN: Implementar la realización de pruebas funcionales de seguridad a los

aplicativos antes de su liberación al usuario.
IMPLEMENTACIÓN: La institucion plantea que como requisito de seguridad de un software , deben

de ser aprobados los sistemas de pruebas como si las funcionalidades fueran
una funcionalidad mas del software.
ARCHIVOS ANEXOS
116
SOA UE - 11/01/2022
NOMBRE CONTROL: Pruebas de aceptación de sistemas.
FECHA 12/12/21 3:08 FECHA 11/01/22 6:03
APLICA: SI
DESCRIPCIÓN: Implementar una metodología estándar para la ejecución de pruebas de

aceptación de los sistemas o aplicativos.
IMPLEMENTACIÓN: La institucion determina que para el proceso de incorporación de nuevas

aplicaciones actualizaciones o nuevas versiones de software debe estar
sujeto a un proceso de aceptación donde se le realicen las pruebas
funcionales y de seguridad planificadas.
ARCHIVOS ANEXOS
117
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Datos de prueba
DESCRIPCIÓN: Asegurar la protección de los datos de prueba.
118
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección de los datos de prueba
FECHA 12/12/21 3:08 FECHA 11/01/22 6:04
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para proteger los datos de prueba

entregados por el cliente, con el objetivo de prevenir problemas legales a
futuro.
IMPLEMENTACIÓN: La institucion determina que para todo entorno ce prueba se utilizaran datos
ficticios para comprobar la funcionalidad del software.
ARCHIVOS ANEXOS
119
SOA UE - 11/01/2022
NOMBRE DOMINIO: Relación con proveedores
NOMBRE OBJETIVO: Seguridad en las relaciones con proveedores
DESCRIPCIÓN: Asegurar la protección de los activos de la organización que

sean accesibles a los proveedores.
120
SOA UE - 11/01/2022
NOMBRE CONTROL:
Política de seguridad de la información en las relaciones con los
proveedores
FECHA 12/12/21 3:08 FECHA 11/01/22 6:06
APLICA: SI
DESCRIPCIÓN: Asegurar los mecanismos empleados por los proveedores para proteger la
información organizacional a la cual tienen acceso.
IMPLEMENTACIÓN: La institucion determina que Las condiciones de seguridad deben ser

acordadas con el proveedor antes de firmar los contratos y debe quedar
documentada si es necesario en los anexos oportunos.
ARCHIVOS ANEXOS
121
SOA UE - 11/01/2022
NOMBRE CONTROL: Requisitos de seguridad en contratos con terceros
FECHA 12/12/21 3:08 FECHA 11/01/22 6:10
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos de seguridad mínimos para los terceros, con el objeto
de proteger la información corporativa a la cual tienen acceso.
IMPLEMENTACIÓN: La institucion establece que deben quedar reflejadas en los contratos de

forma explícita y en un apartado específico para ello.
ARCHIVOS ANEXOS
122
SOA UE - 11/01/2022
NOMBRE CONTROL:
Cadena de suministro de tecnología de la información y de las
comunicaciones
FECHA 12/12/21 3:08 FECHA 11/01/22 6:10
APLICA: SI
DESCRIPCIÓN: Establecer requisitos mínimos de seguridad exigidos a terceros y proveedores

que tienen acceso a la información corporativa.
IMPLEMENTACIÓN: La institucion establece requisitos de seguridad de la información no

solamente a nuestros proveedores sino que fijemos los requisitos para toda la
cadena de suministro
ARCHIVOS ANEXOS
123
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Gestión de la provisión de servicios del proveedor
DESCRIPCIÓN:
Mantener un nivel acordado de seguridad y de provisión de
servicios en línea con acuerdos con proveedores.
124
SOA UE - 11/01/2022
NOMBRE CONTROL: Control y revisión de la provisión de servicios del proveedor
FECHA 12/12/21 3:08 FECHA 11/01/22 6:12
APLICA: SI
DESCRIPCIÓN: Definir y evaluar el nivel de cumplimiento de los criterios de seguridad de la

información establecidos para la contratación de proveedores.
IMPLEMENTACIÓN: La institucion establece mecanismos de monitorización de los servicios

proporcionados por terceros y además solicitar los informes al proveedor
sobre el nivel de servicio prestado.
ARCHIVOS ANEXOS
125
SOA UE - 11/01/2022
NOMBRE CONTROL: Gestión de cambios en la provisión del servicio del proveedor
FECHA 12/12/21 3:08 FECHA 11/01/22 6:13
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para modificar los criterios de selección de

proveedores, en materia de seguridad de la información, cuando se presenten
cambios en los requisitos o bajo desempeño.
IMPLEMENTACIÓN: La institucion establece análisis de riesgos al nuevo proceso , Evaluar la

necesidad de modificar o ampliar los acuerdos de prestación de servicios
para cubrir las nuevas necesidades de seguridad si así se estima oportuno.
ARCHIVOS ANEXOS
126
SOA UE - 11/01/2022
NOMBRE DOMINIO: Gestión de incidentes de seguridad de la información
NOMBRE OBJETIVO: Gestión de incidentes de seguridad de la información y mejoras
DESCRIPCIÓN: Asegurar un enfoque coherente y eficaz para la gestión de

incidentes de seguridad de la información, incluida la
comunicación de eventos de seguridad y debilidades.
127
SOA UE - 11/01/2022
NOMBRE CONTROL: Responsabilidades y procedimientos
FECHA 12/12/21 3:08 FECHA 11/01/22 6:15
APLICA: SI
DESCRIPCIÓN: Documentar y divulgar el procedimiento para la gestión de incidentes de

IMPLEMENTACIÓN: La institucion define un responsable o responsables para la gestión de

incidentes quien deberá garantizar que se desarrollan los procedimientos
adecuados para que se realicen todas las tareas o procesos necesarios para
gestionar los incidentes.
ARCHIVOS ANEXOS
128
SOA UE - 11/01/2022
NOMBRE CONTROL: Notificación de los eventos de seguridad de la información.
FECHA 12/12/21 3:08 FECHA 11/01/22 6:16
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para notificar al responsable sobre los incidentes de

IMPLEMENTACIÓN: La institucion cuenta con procedimientos para la detección, análisis y

elaboración de informes de incidentes de la seguridad de la información.
ARCHIVOS ANEXOS
129
SOA UE - 11/01/2022
NOMBRE CONTROL: Notificación de puntos débiles de la seguridad
FECHA 12/12/21 3:08 FECHA 11/01/22 6:19
APLICA: SI
DESCRIPCIÓN: Establecer un mecanismo para notificar sobre aquellas situaciones que

pueden llegar a convertirse en incidentes de seguridad de la información con
impacto sobre la organización.
IMPLEMENTACIÓN: La institucion cuenta con reportes de incidentes debe acompañarse con un

reporte de posibles debilidades del sistema que se detecten en cualquier
momento.
ARCHIVOS ANEXOS
130
SOA UE - 11/01/2022
NOMBRE CONTROL:
Evaluación y decisión sobre los eventos de seguridad de
información.
FECHA 12/12/21 3:08 FECHA 11/01/22 6:20
APLICA: SI
DESCRIPCIÓN: Definir una metodología para la gestión de los incidentes de seguridad de la

información.
IMPLEMENTACIÓN: La institucion establece Un criterio de priorización de incidentes dependiendo

del sistema o servicio afectado, del usuario etc.
ARCHIVOS ANEXOS
131
SOA UE - 11/01/2022
NOMBRE CONTROL: Respuesta a incidentes de seguridad de la información
FECHA 12/12/21 3:08 FECHA 11/01/22 6:22
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para seleccionar los planes de acción que se

implementarán sobre los incidentes de seguridad.
IMPLEMENTACIÓN: La institucion evalua si la organización tiene la capacidad para resolver el

incidente por si misma o necesita ayuda de terceros.
Mantenga un registro con las evidencias de las incidencias.
ARCHIVOS ANEXOS
132
SOA UE - 11/01/2022
NOMBRE CONTROL: Aprendizaje de los incidentes de seguridad de la información.
FECHA 12/12/21 3:08 FECHA 9/01/22 18:59
APLICA: SI
DESCRIPCIÓN: Definir los medios para generar aprendizaje a partir del análisis de los
incidentes de seguridad reportados y sus causas.
IMPLEMENTACIÓN: Actualmente existes medios comunicativos donde se les da a conocer a los

colaboradores las incidencias y se les indica recomendaciones para que esto
no vuelva a ocurrir.
ARCHIVOS ANEXOS
133
SOA UE - 11/01/2022
NOMBRE CONTROL: Recopilación de evidencias
FECHA 12/12/21 3:08 FECHA 9/01/22 19:01
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para resguardar las evidencias de la gestión de

incidentes de seguridad de la información.
IMPLEMENTACIÓN: Se establecen procesos que permiten salvaguardar la información , teniendo

un reporte de las incidencias donde se respalda las evidencias recopiladas.
ARCHIVOS ANEXOS
134
SOA UE - 11/01/2022
NOMBRE DOMINIO: Aspectos de seguridad de la información para la gestión de la

continuidad del negocio
NOMBRE OBJETIVO: Continuidad de la seguridad de la información
DESCRIPCIÓN: La continuidad de la seguridad de la información debe formar

parte de los sistemas de gestión de continuidad de negocio de la
organización.
135
SOA UE - 11/01/2022
NOMBRE CONTROL: Planificación de la continuidad de la seguridad de la información.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:02
APLICA: SI
DESCRIPCIÓN: Establecer un plan de continuidad de seguridad de la información que le

permita a la compañía estar preparado frente a contingencias relacionadas
con sus activos.
IMPLEMENTACIÓN: Actualmente existe un plan de contingencia que asegura la disponibilidad de

los datos , y la proteccion de los activos.
ARCHIVOS ANEXOS
136
SOA UE - 11/01/2022
NOMBRE CONTROL: Implementar la continuidad de la seguridad de la información.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:04
APLICA: SI
DESCRIPCIÓN: Implementar los mecanismos definidos para garantizar la continuidad de la

seguridad de la información en la operación de la compañía.
IMPLEMENTACIÓN: La institución están preparado para fortalecer su seguridad de la información

y su respuesta ante diferentes situaciones de desastre.
ARCHIVOS ANEXOS
137
SOA UE - 11/01/2022
NOMBRE CONTROL:
Verificación, revisión y evaluación de la continuidad de la
FECHA 12/12/21 3:08 FECHA 9/01/22 19:07
APLICA: SI
DESCRIPCIÓN: Establecer el mecanismo para probar la efectividad del Plan de Contingencia

y Continuidad del Negocio (Seguridad de la Información).
IMPLEMENTACIÓN: La institución cuenta con planes de acción y contingencia destinados a mitigar

cualquier anomalía relacionada con el impacto provocado por cualquier
amenaza de seguridad.
ARCHIVOS ANEXOS
138
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Redundancias
DESCRIPCIÓN:
Los recursos de tratamiento de la información deben ser
implementados con la redundancia suficiente para satisfacer los
requisitos de disponibilidad.
139
SOA UE - 11/01/2022
NOMBRE CONTROL: Disponibilidad de los recursos de tratamiento de la información.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:14
APLICA: SI
DESCRIPCIÓN: Identificar los recursos redundantes requeridos para el correcto

funcionamiento de los sistemas corporativos.
IMPLEMENTACIÓN: La institución cuenta con los recursos redundantes necesarios para

implementar actividades de gestión de calidad , requeridas en la
organización.
ARCHIVOS ANEXOS
140
SOA UE - 11/01/2022
NOMBRE DOMINIO: Cumplimiento
NOMBRE OBJETIVO: Cumplimiento de los requisitos legales y contractuales
DESCRIPCIÓN: Evitar incumplimientos de las obligaciones legales, estatutarias,

reglamentarias o contractuales relativas a la seguridad de la
información o de los requisitos de seguridad.
141
SOA UE - 11/01/2022
NOMBRE CONTROL:
Identificación de la legislación aplicable y de los requisitos
contractuales.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:27
APLICA: SI
DESCRIPCIÓN: Identificar la legislación en materia de seguridad de la información que aplica

a la compañía.
IMPLEMENTACIÓN: Se establecen directrices que hacen posible la identificación la legislación en

cuanto a la seguridad de la información que es aplicada en la institución.
ARCHIVOS ANEXOS
142
SOA UE - 11/01/2022
NOMBRE CONTROL: Derechos de propiedad intelectual (DPI)
FECHA 12/12/21 3:08 FECHA 9/01/22 19:15
APLICA: SI
DESCRIPCIÓN: Definir e implementar los mecanismos para garantiza el respeto por los
derechos de propiedad intelectual.
IMPLEMENTACIÓN: Se establecen directrices que determinan los derechos propios de los

sistemas de la institución.
ARCHIVOS ANEXOS
143
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección de los registros de la organización.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:19
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos eficientes para resguardar los registros generados

por la organización y aquellos suministrados por el cliente.
IMPLEMENTACIÓN: Se establecen políticas de contraseñas de acceso donde se respalda la

informacion.
ARCHIVOS ANEXOS
144
SOA UE - 11/01/2022
NOMBRE CONTROL: Protección y privacidad de la información de carácter personal.
FECHA 12/12/21 3:08 FECHA 9/01/22 19:22
APLICA: SI
DESCRIPCIÓN: Definir e implementar mecanismos para garantizar la protección y el correcto

manejo de los datos personales que le son suministrados a la compañía, por
parte de todos los grupos de interés.
IMPLEMENTACIÓN: Se establecen políticas donde se indica que la información confidencial de

carácter personal, es unicamente accesible por el involucrado y el área de
TTHH, cualquier otro acceso se considera peligroso.
ARCHIVOS ANEXOS
145
SOA UE - 11/01/2022
NOMBRE CONTROL: Regulación de los controles criptográficos.
FECHA 12/12/21 3:08 FECHA 9/01/22 17:48
APLICA: SI
DESCRIPCIÓN: Regular el uso de firmas digitales y certificados con el objeto de garantizar

que estos son empleados solo para el uso autorizado.
IMPLEMENTACIÓN: Se establecen ajustes referente al uso de firma digitales donde a la firma se

añade un distintivo organizacional , debido a que un certificado electrónico es
un documento digital emitido por la autoridad competente que permite verificar
la identidad de una persona física o jurídica, así como la veracidad y
autenticidad de los documentos que esta persona o entidad remite. Su misión
es servir como medio electrónico de validación de información.
ARCHIVOS ANEXOS
146
SOA UE - 11/01/2022
NOMBRE OBJETIVO: Revisiones de la seguridad de la información
DESCRIPCIÓN:
Garantizar que la seguridad de la información se implementa y
opera de acuerdo con las políticas y procedimientos de la
organización.
147
SOA UE - 11/01/2022
NOMBRE CONTROL: Revisión independiente de la seguridad de la información.
FECHA 12/12/21 3:08 FECHA 9/01/22 18:18
APLICA: SI
DESCRIPCIÓN: Establecer mecanismos para implementar una revisión independiente acerca

del cumplimiento con de los requisitos establecidos en el SGSI de la
compañía.
IMPLEMENTACIÓN: Se establecen reglamentos donde se estipulan realizar auditorias internas

para validar la proteccion de los datos y garantizar que se cumplan con las
normas SGSI.
ARCHIVOS ANEXOS
148
SOA UE - 11/01/2022
NOMBRE CONTROL: Cumplimiento de las políticas y normas de seguridad.
FECHA 12/12/21 3:08 FECHA 9/01/22 18:20
APLICA: SI
DESCRIPCIÓN: Asegurar que las políticas y procedimientos establecidos por la compañía, en

materia de seguridad de la información, son entendidos por todo el personal e
implementados adecuadamente.
IMPLEMENTACIÓN: Se realizan simulacros donde se evalúa la correcta manipulación de la

información, la misma que es utilizada por el personal.
ARCHIVOS ANEXOS
149
SOA UE - 11/01/2022
NOMBRE CONTROL: Comprobación del cumplimiento técnico.
FECHA 12/12/21 3:08 FECHA 9/01/22 18:22
APLICA: SI
DESCRIPCIÓN: Establecer los medios a través de los cuales la compañía evalúa el nivel de
cumplimiento del SGSI y valida su conformidad y pertinencia.
IMPLEMENTACIÓN: Se establecen guías de evaluación donde se califica que el personal cumpla

con las normas SGSI.
ARCHIVOS ANEXOS
150
SOA UE - 11/01/2022
CONCLUSIÓN
De acuerdo al análisis obtenido en la auditoria se considera que existe un alto riesgo a nivel de Organización
en la seguridad de la información, ya que internamente hace falta esquematizar correctamente las tareas,
mejorando el contacto directo con las autoridades, el contacto con los grupos de interés especial y mejorar la
seguridad de la información en la gestión de proyectos, implementando mecanismos que permitan acceder a
la información mediante un proceso de autorización y control con el objetivo de generar mejoras y reducir el
riesgo.
Adicionalmente implementar políticas en la seguridad de los dispositivos móviles, como el detectar servicios
o sistemas instalados que afecten de una u otra forma la red de datos, o incluso encontrar un enfoque que
mejor se adapte a la red, referente a la manipulación del equipo.
Tambien dentro de este análisis se encontró que existe un alto hueco de fragilidad a nivel de Seguridad Ligada
a los recursos humanos, si bien en cierto los recursos humanos son uno de los activos relativamente mas
importante dentro de una organización y tambien considerados los más vulnerables porque mediante estos
pueden surgir diferentes riesgos de seguridad , considerado uno de los componentes más críticos al momento
de garantizar los 3 pilares de la seguridad , por lo que es importante implementar o adaptar controles y
prácticas que ayuden a mitigar el impacto de los riesgos, dando a conocer al usuario a través de
capacitaciones como proteger de forma correcta los datos, que es lo que puede o no hacer dentro de la
organización con los datos , etc.
151
SOA UE - 11/01/2022
De acuerdo al análisis presentado la institución tiene un riesgo muy elevado en cuanto a la seguridad ligada a los
recursos humanos , si bien es cierto los usuarios son uno de los activos mas importantes dentro de una organización,
sin embargo considerado uno de los activos mas peligroso ya que por errores humanos, ocurren la mayor parte de
incidentes en la seguridad de la información poniendo en riesgo los datos, para ello se recomienda implemenar controles
de seguridad que abrquen medididas y restricciones referentes al manejo de la información, Criptografía, en cuanto a los
controles que se recomienda a la insitiución es que estos procesos se encuentren ligados y enfocados a la protección de
los datos donde terceros o intrusos no puedan tener acceso físico a la información , implementando sistemas de cifrado
que dificultan de cierta forma el acceso incorrecto a la confidecialidad e integridad de la información.
152

Sisalima, Morocho Rebeca Emarisma

Cargado por

Copyright:

Formatos disponibles

Sisalima, Morocho Rebeca Emarisma

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Sisalima, Morocho Rebeca Emarisma

Cargado por

Copyright:

Formatos disponibles

INFORME ANÁLISIS PREVIO

VERSIÓN EXCLUSIVA PARA USO ACADÉMICO

Fecha 12/12/21 3:08

Patrón: SNT_08_001 - Patrón General 2013

Responsable: Ing. Rebeca Sisalima

Descripción: La empresa UE, es una institución educativa

[A.8.2] - Clasificación de la información ........................................................................................................................... 32

COBERTURA CONTROL: ............................................................................................................................................... 66

COBERTURA CONTROL: ............................................................................................................................................... 97

COBERTURA CONTROL: .............................................................................................................................................130

La institución cuenta con una central telefónica montada

[A.5] - Políticas de Seguridad de la información

[A.5.1] - Directrices de gestión de la seguridad de la información

[A.5.1.1] - Políticas para la seguridad de la información

¿Existe apoyo de la dirección al plan de seguridad? SI SI

¿Se comunica la política de seguridad a los nuevos

[A.5.1.2] - Revisión de la política de seguridad de la información

¿La política de seguridad de la información es revisada a

¿Los datos de entrada (input) de la revisión gerencial

¿Los datos de entrada (input) de la revisión gerencial

¿Los datos de entrada (input) de la revisión gerencial

¿Los datos de salida (output) de la revisión gerencial

¿Se mantiene un registro de la revisión gerencial? SI PARCIAL

¿Se obtiene la aprobación de la gerencia para la política

¿La revisión de la política de seguridad de la información

¿Existe un procedimiento de revisión gerencial? SI PARCIAL

¿Los datos de entrada (input) de la revisión gerencial

[A.6] - Organización de la seguridad de la información

[A.6.1] - Organización interna

[A.6.1.1] - Roles y responsabilidades en seguridad de la información

¿Las responsabilidades de la seguridad de la información

¿Están claramente definidos los niveles de autorización?

¿Existe un documento que especifique las funciones y

[A.6.1.2] - Segregación de tareas

¿Están correctamente separadas las actividades que

[A.6.1.3] - Contacto con las autoridades

¿Se tiene un procedimiento que indique cuándo y cuáles

[A.6.1.4] - Contacto con grupos de interés especial

¿Se mantienen contactos apropiados con grupos de

[A.6.1.5] - Seguridad de la información en la gestión de proyectos

¿Los objetivos de seguridad de la información estén

¿La seguridad de la información es parte de todas las

¿Se revisan periódicamente las implicaciones de

¿Las responsabilidades de seguridad de la información

[A.6.2] - Los dispositivos móviles y el teletrabajo

[A.6.2.1] - Política de dispositivos móviles

¿Existe una política y medidas de seguridad apropiadas

¿Los medios están respaldados contra el robo o pérdida

¿Existen controles para el uso de medios móviles

¿Los medios de computación móvil también están

¿El equipo que contiene información comercial

¿Cuando se utiliza medios de computación y

¿La política de computación móvil toma en cuenta los

¿Existen procedimientos contra los software maliciosos y

¿Se ha considerado la seguridad física existente en el

¿Se ha analizado el ambiente de trabajo remoto

¿Se ha considerado la amenaza de acceso no autorizado

¿Los controles comprenden la provisión de mobiliario

¿Los controles contemplan el horario de trabajo? SI SI